Anda di halaman 1dari 19

IT GOVERNANCE : IT AUDIT ROLE

Definisi IT Governance
Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusankeputusan yang diambil, yang memastikan adanya alokasi penggunaan TI dalam strategi-strategi organisasi yang bersangkutan. IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan memfokuskan pada kegiatan manajemen dan penggunaan TI untuk pencapaian organisasi. Dengan demikian, IT governance pada intinya mencakup pembuatan keputusan, akuntabilitas pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan memanaje proses pembuatan dan pengimplementasian keputusan-keputusan yang berkaitan dengan TI. Contoh bidang cakupan IT governance sektor publik adalah keputusan pemerintah yang menentukan siapa yang memiliki wewenang dan tanggungjawab dalam pembuatan keputusan tentang berapa jumlah investasi yang dapat dilakukan pada sektor publik X dengan memanfaatkan TI. Sementara itu, henderi et. all (2008) mendefinisikan IT governance adalah keputusan yang benar dalam bingkai yang bisa di minta pertanggung-jawabannya untuk mendorong keinginan dan kebiasaan penggunaan teknologi informasi. Pada bagian yang lain Henderi (2008) juga mendefinisikan IT governance adalah landasan kerja yang mengukur dan memutuskan penggunan dan pemanfaatan teknologi informasi dengan mempertimbangkan maksud, tujuan, dan sasaran bisnis perusahaan. Dengan demikian IT governance merupakan usaha mensinergikan peran IT dan governance dalam mencapai sasaran dan tujuan perusahaan atau organisasi. IT fokus kepada teknologi sementara governance fokus kepada tata kelola. ITgovernance merupakan tanggung jawab dari Dewan Direktur dan Manajemen Eksekutif . IT

governance adalah suatu bagian utuh dari tata kelola perusahaan dan terdiri dari pimpinan dan struktur organisasi dan proses-proses yang menjamin keberlanjutan IT organisasi mengembangkan dan memperluas strategi dan tujuan organisasi. IT Governance pada intinya adalah bagaimana memanage penggunaan TI agar menghasilkan output yang maksimal dalam organisasi, membantu proses pengambilan keputusan dan membantu proses pemecahan masalah. Prinsip-prinsip IT Governance harus dilakukan secara terintegrasi, sebagaimana fungsi-fungsi manajemen

dilaksanakan secara sistemik dilaksanakan pada sebuah organisasi publik. Suatu IT governance yang efektif berarti penggunaan TI pada organisasi tersebut mampu meningkatkan dan mensinergiskan antara penggunaan TI dengan visi, misi, tujuan dan nilai organisasi yang bersangkutan. Menurut Weill&Ross (2004:10), suatu IT Governance yang efektif adalah yang mampu menjawab tiga pertanyaan berikut, yakni: y Keputusan-keputusan apa yang harus diambil untuk memastikan terlaksananya efektif manajemen dan efektif penggunaan TI? y Siapa yang harus membuat keputusan-keputusan berkaitan dengan penggunaan TI? y Bagaimana keputusan-keputusan ini dibuat dan dimonitor? Untuk mengerti, cara mendesain, melakukan proses komunikasi, dan menindaklanjuti IT Governance yang efektif adalah dengan : 1. Menetapkan dengan baik dan tepat strategi organisasi 2. Untuk menetapkan dengan baik dan tepat strategi organisasi, maka organisasi harus memperhatikan perilaku organisasi dan pengadopsian IT dalam organisasi tersebut.

3. Kemudian untuk menetapkan strategi organisasi dengan baik, juga diperlukan perhatian dan pengaturan yang baik terhadap 6 (enam) asset yang ada di organisasi tersebut, yakni: relationship asset, physical asset, Intelectual property asset, human relation asset, financial asset dan TI. Sedang bagaimanakah cara mengatur semua asset tersebut dalam IT Governance adalah dengan memperhatikan mekanisme dari IT governancenya, yakni keputusan-keputusan tentang IT nya. 4. Terakhir, untuk menciptakan strategi organisasi yang baik dalam kaitannya dengan penggunaan IT dalam organisasi, maka harus memperhatikan pula sasaransasaran pencapaian kerja tiap-tiap unit organisasi; yang sangat dipengaruhi oleh akuntabilitas pelaksanaan IT nya. Tata kelola perusahaan yang efektif berfokus pada keahlian individu dan kelompok, dan pengalaman pada bidang tertentu di mana mereka dapat bekerja paling efektif. Teknologi informasi, sekarang dianggap sebagai bagian integral dari strategi perusahaan. Chief Executive Officers (CEOs), Chief Operating Officers (COOs), Chief Financial Officers (CFOs), Chief Information Officers (CIOs), and Chief Technology Officers (CTOs) setuju bahwa hubungan strategis antara IT dan perusahaan merupakan faktor penentu dalam mencapai keberhasilan. IT Governance membantu mencapai faktor penting keberhasilan yang ekonomis, efektif, dan efisien, informasi yang dapat dipercaya dan penerapan teknologi. Elemen kunci dari IT Governance adalah keselarasan bisnis dan TI, serta mengarah ke pencapaian nilai bisnis. Pada dasarnya, IT Governance berkaitan dengan dua isu yaitu bahwa TI memberikan nilai bagi bisnis dan risiko TI yang dikelola. Isu yang pertama adalah

didorong oleh keselarasan strategis dari IT dengan bisnis. Sedangkan isu yang kedua adalah didorong oleh penanaman akuntabilitas di dalam perusahaan.

Best Practise for IT Governance


IT Governance merupakan salah satu bagian terpenting dari kesuksesan

penerapan Good Corporate Governance. IT Governance memastikan pengukuran efektivitas dan efisiensi peningkatan proses bisnis perusahaan melalui struktur yang tekait dengan TI menuju ke arah tujuan strategis perusahaan. IT Governance memadukan best practices proses perencanaan, pengelolaan, penerapan, pelaksanaan, dan pengawasan kinerja TI, untuk memastikan TI benar-benar mendukung pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumber daya dan proses bisnis mereka untuk menjadi lebih kompetitif. Dengan IT Governance, proses bisnis menjadi lebih transparan, tanggung jawab serta akuntabilitas tiap fungsi atau individu semakin jelas. Dengan demikian, keuntungan optimum investasi TI tercapai, dan sekaligus memastikan semua potensi risiko investasi TI telah diantisipasi dan dapat terkendali dengan baik. IT governance bukan hanya penting bagi teknisi TI saja. Direksi dan komisaris yang bertanggung jawab terhadap investasi dan pengelolaan risiko perusahaan, adalah pihak utama yang harus memastikan bahwa perusahaannya memiliki IT governance. Keputusan bisnis yang baik harus didasarkan pada pengetahuan yang berasal dari informasi yang relevan, komprehensif, dan tepat waktu. Informasi seperti itu dihasilkan oleh sistem informasi yang memenuhi kriteria, seperti efektif, efisien, kerahasiaan, keterpaduan, ketersediaan, kepatuhan terhadap rencana atau aturan, dan

keakuratan informasi yang dihasilkan (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability). Suatu organisasi dapat dianggap sukses membangun TI dalam suatu kerangka sistem informasi yang lengkap bila telah memenuhi kriteria ukuran informasi (efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, pemenuhan dan

keandalan), mencakup sumber daya TI (orang-orang, aplikasi, teknologi, fasilitas dan data) untuk memberikan dukungan penuh pada sasaran bisnis perusahaan.

Kerangka IT Governance
Dibawah ini adalah contoh daripada kerangka IT Governance:  Control Objectives for Information and related Technology (CoBIT) dikembangkan oleh IT Governance Institute (ITGITM) untuk mendukung IT Governance dengan menyediakan kerangka kerja untuk memastikan bahwa: TI selaras dengan bisnis, TI memungkinkan keuntungan bisnis dan

memaksimalkannya, bertanggung jawab atas sumber daya TI yang digunakan, dan resiko TI dikelola dengan tepat  The ISOIIEC 27001 (ISO 27001) Series of Standards adalah seperangkat praktek terbaik yang menyediakan panduan bagi organisasi dalam menerapkan dan memelihara program keamanan informasi.  The IT Infrastructure Library (ITIL) dikembangkan oleh Inggris Office of Government Commerce (OGC), dalam kemitraan dengan Forum Manajemen IT Service, dan merupakan rinci kerangka kerja dengan informasi mengenai bagaimana untuk mencapai kesuksesan manajemen pelayanan operasional TI.  The IT Baseline Protection Catalogs, or IT-Grundschutz Catalogs (known prior to 2005 as the IT Baseline Protection Manual) adalah kumpulan dokumen dari German Federal Office for Security in Information Technology (FSI).

Dokumen tersebut berguna untuk mendeteksi dan memerangi keamanan yang lemah dalam lingkungan TI.  The Information Security Management Maturity Model (ISM3) adalah proses berbasis ISM untuk keamanan.  AS8015-2005 adalah standar Australia untuk tata kelola teknologi informasi dan komunikasi.  ISOIIEC 38500:2008 Corporate Governance of Information Technology (very closely based on AS80 15-2005) menyediakan kerangka kerja untuk IT governance yang efektif. ISO / IEC 38500 membantu orang-orang di tingkat tertinggi dalam organisasi untuk memahami dan memenuhi kewajiban hukum mereka, peraturan dan etika dalam sehubungan dengan penggunaan IT dalam organisasi mereka. ISOIIEC 38500 adalah berlaku untuk organisasi dari semua ukuran, termasuk publik dan perusahaan swasta, badan pemerintah dan bukan nirlaba organisasi.

Fokus area daripada IT Governance antara lain adalah:  Strategic alignment : berfokus pada memastikan hubungan bisnis dan rencana TI; mendefinisikan, memelihara dan memvalidasi proposisi nilai TI, dan menyelaraskan operasi TI dengan operasi perusahaan.  Value delivery : adalah tentang menjalankan proposisi nilai seluruh siklus pengiriman, memastikan bahwa TI memberikan manfaat yang dijanjikan terhadap strategi, berkonsentrasi pada mengoptimalkan biaya dan

membuktikan nilai intrinsik TI.  Risk management : membutuhkan kesadaran risiko dari pejabat perusahaan senior, pemahaman yang jelas tentang risk appetite perusahaan itu, pemahaman tentang persyaratan kepatuhan, transparansi tentang risiko yang signifikan

untuk perusahaan dan menanamkan tanggung jawab manajemen risiko ke dalam organisasi.  Resource management : adalah tentang investasi yang optimal, dan pengelolaan yang tepat atas sumber daya TI yang kritis, yaitu antara lain aplikasi, informasi, infrastruktur dan orang-orang. Isu-isu kunci berkaitan dengan optimasi pengetahuan dan infrastruktur.  Performance measurement : menjalankan dan memonitor implementasi atas strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pelayanan pengiriman, yaitu menggunakan, misalnya, balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan yang diharapkan.

Weill & Ross (MIT, 2005) mengemukakan bahwa ada 5 hal yang penting yang harus diperhatikan dalam IT Governance yaitu: 1. IT Principles yang menyangkut keputusan tingkat tinggi mengenai peran strategis IT untuk mendukung bisnis. 2. IT Architecture yang meliputi serangkaian pilihan teknik IT yang terpadu untuk membantu organisasi memenuhi kebutuhan bisnisnya. 3. IT Infrastructure meliputi penyediaan jasa IT yang terpusat dan terkoordinasi yang merupakan fondasi atas kapabilitas IT yang dimiliki suatu perusahaan 4. Business Application 5. IT Failure

IT AUDIT ROLE
Audit memainkan peran penting dalam keberhasilan pelaksanaan IT governance dalam sebuah organisasi. Audit adalah posisi yang baik untuk memberikan

rekomendasi praktik yang mengarah ke manajemen senior untuk membantu meningkatkan kualitas dan efektivitas pengimplementasian IT governance. Sebagai entitas yang memantau ketaatan, audit membantu memastikan ketaatan dengan pengimplementasian IT governance dalam suatu organisasi. Pemantauan terusmenerus, analisis dan evaluasi metrik terkait dengan inisiatif IT governance memerlukan sudut pandang yang independen dan seimbang. Pelaporan IT governace melibatkan auditing di tingkat tertinggi dalam organisasi dan mungkin dapat melintasi divisi, fungsional atau batas departemen. IS auditor harus mengkonfirmasikan: y Lingkup pekerjaan, termasuk definisi yang jelas dari fungsional daerah dan isuisu yang akan dibahas. y Lini pelaporan yang akan digunakan, di mana masalah IT governance diidentifikasi untuk tingkat tertinggi organisasi. y Hak IS auditor untuk mengakses informasi baik di dalam organisasi dan dari penyedia layanan pihak ketiga. Aspek yang terkait dengan IT governance yang perlu dinilai: y Penjajaran fungsi IS dengan misi organisasi, visi, nilai, tujuan dan strategi. y Pencapaian tujuan kinerja yang ditetapkan oleh bisnis (misalnya, efektivitas dan efisiensi) dengan fungsi IS. y Hukum, lingkungan, informasi yang berkualitas, fidusia, keamanan, dan persyaratan privasi y Lingkungan pengendalian organisasi y Inherent Risk dalam lingkungan IS

INFORMATION SYSTEM STRATEGY

Perencanaan Strategis
Perencanaan strategis dalam sudut pandang IS berhubungan dengan arah jangka panjang yang perusahaan ambil dalam memanfaatkan teknologi informasi untuk mengembangkan proses bisnisnya. Dalam mengembangkan rencana strategis, umumnya dalam waktu tiga sampai lima tahun, perusahaan seharusnya yakin bahwa perencanaan tersebut selaras dan konsisten dengan keseluruhan sasaran dan tujuan perusahaan. Manajemen departemen sistem informasi, bersama dengan komite pengendalian (steering committee) dan komite strategis (yang menyediakan masukan strategis yang berhubungan dengan stakeholder value), memainkan peran penting dalam pengembangan dan implementasi rencana-rencana tersebut. Perencanaan strategis IT yang efektif melibatkan pertimbangan atas kebutuhan perusahaan akan sistem IT baru dan direvisi, serta kapasitas IT organisasi untuk menghasilkan fungsionalitas baru melalui proyek-proyek yang dikelola dengan baik. Dalam menilai kemampuan IT, portofolio dari sistem yang ada harus ditinjau dalam hal kecocokan fungsi, biaya dan risiko. Dalam menilai kapasitas IT tersebut melibatkan tinjauan atas infrastruktur IT teknis organisasi dan proses-proses kunci pendukung (contoh: manajemen proyek, pengembangan dan pemeliharaan software, pengamanan administrasi dan jasa pusat layanan) untuk menentukan apakah perluasan atau perbaikan diperlukan. Proses perencanaan strategis tidak hanya meliputi penghasilan sistem dan teknologi baru, tetapi juga mempertimbangkan keuntungan yang diperoleh dari investasi IT yang baru dan penghentian sistem yang lama. Rencana strategis IT harus

menyeimbangkan biaya pemeliharaan atas sistem lama dengan biaya dari percobaan sistem baru untuk mendukung strategi bisnis. Auditor IS harus memberi perhatian penuh terhadap pentingnya perencanaan strategis TI, memasukkan praktik pengendalian manajemen dalam pertimbangan. Di samping itu, tujuan IT Governance membutuhkan rencana strategis IT untuk dapat diselaraskan dengan keseluruhan strategi bisnis. Auditor IS harus berfokus pada pentingnya proses perencanaan atau kerangka perencanaan strategis. Auditor IS harus memperhitungkan bagaimana CIO atau manajemen IT senior terlibat dalam pembuatan seluruh strategi bisnis. Kurangnya keterlibatan IT dalam pembuatan strategi bisnis mengindikasikan bahwa terdapat risiko bahwa rencana dan strategi IT tidak selaras dengan strategi bisnis.

Komite Pengendalian (Steering Committee)


Manajemen perusahaan sebaiknya menunjuk suatu komite perencanaan atau pengendalian untuk mengawasi fungsi IS beserta aktivitasnya. Komite pengendalian di tingkatan yang tinggi untuk teknologi informasi merupakan faktor penting untuk memastikan bahwa departemen IS sesuai dengan misi dan tujuan perusahaan. Komite ini sebaiknya melibatkan perwakilan dari manajemen senior, manajemen dari pihak penggunna teknologi (user management) dan departemen IS. Tugas dan tanggung jawab komite sebaiknya ditentukan dalam bagan formal. Anggota dari komite harus mengetahui kebijakan, prosedur dan praktik departemen IS. Setiap anggota sebaiknya memiliki wewenang untuk membuat keputusan dalam kelompok untuk wilayah mereka masing-masing.

Komite semacam ini biasanya berfungsi sebagai dewan peninjau umum untuk proyekproyek besar IS dan sebaiknya tidak terlibat dalam kegiatan operasi rutin. Fungsi utama dari komite ini termasuk: y Meninjau rencana jangka panjang dan pendek dari departemen IS untuk memastikan bahwa mereka sesuai dengan tujuan perusahaan. y Meninjau dan menyetujui perolehan perangkat keras dan lunak yang penting dalam batas-batas yang disetujui oleh dewan direksi. y Menyetujui dan mengawasi proyek penting dan keadaan dari anggaran dan rencana IS, menetapkan prioritas, menyetujui standar dan prosedur, serta mengawasi seluruh kinerja IS. y Meninjau dan menyetujui strategi sourcing untuk semua atau kegiatan IS tertentu, termasuk insourcing atau outsourcing, serta globalisasi atau melakukan offshoring atas fungsi. y Meninjau kecukupan sumber dan alokasi sumber dalam hal waktu, personel dan peralatan. y Membuat keputusan sehubungan dengan sentralisasi vs. desentralisasi serta penugasan tanggung jawab. y Mendukung pengembangan dan implementasi dari suatu program manajemen pengamanan informasi seluruh perusahaan. y Melaporkan kepada dewan direksi mengenai kegiatan IS.

_____________________________________________________________________
Catatan: Tanggung jawab komite akan bervariasi dari perusahaan satu ke perusahaan lain dan tanggung jawab yang disebutkan di atas merupakan tanggung jawab paling umum dari komite pengendalian. Setiap perusahaan harus mendokumentasikan secara formal dan menyetujui aturan petunjuk untuk komite pengendaliannya dan auditor IS sebaiknya membiasakan dirinya

dengan dokumentasi dari komite pengendalian dan memahami tanggung jawab utama yang ditugaskan kepada angota-anggota komite. Banyak perusahaan merujuk komite ini dengan sebutan yang berbeda. Auditor IS perlu untuk mengidentifikasi kelompok yang melakukan fungsi-fungsi di atas.

_____________________________________________________________________
Komite pengendalian IS sebaiknya mendapatkan informasi manajemen yang tepat dari departemen IS, dari departemen pengguna dan dari audit supaya dapat secara efektif mengkoordinasikan dan mengawasi sumber-sumber IS perusahaan. Komite sebaiknya mengawasi kinerja dan melakukan tindakan yang sesuai untuk mencapai hasil yang diinginkan. Laporan formal atas pertemuan komite pengendalian IS sebaiknya dikelola untuk mendokumentasikan kegiatan dan keputusan komite.

POLICIES AND PROCEDURES

Kebijakan dan prosedur mencerminkan pedoman dan arahan bagi manajemen dalam mengembangkan kontrol terhadap sistem informasi, terkait sumber daya dan proses departemen sistem informasi.

POLICIES Policies atau kebijakan adalah dokumen tingkat tinggi yang merepresentasikan filosofi perusahaan mengenai organisasi dan pemikiran strategik dari manajemen senior dan pemilik proses bisnis. Manajemen harus menciptakan kontrol positif terhadap lingkungan dengan memikul tanggung jawab untuk merumuskan, mengembangkan, mendokumentasikan, menyebarkan dan mengendalikan kebijakan meliputi tujuan umum dan pengarahannya.

Manajemen

harus mengambil langkah-langkah yang diperlukan untuk

memastikan bahwa karyawan terpengaruh oleh kebijakan tertentu, menerima penjelasan penuh akan kebijakan itu dan memahami maksudnya. Sebagai tambahan, kebijakan dapat juga berlaku untuk pihak ketiga dan outsourcers yang perlu mengikuti kebijakan terkait dengan kontrak atau Statement of Work (SOW). Selain kebijakan perusahaan yang mengatur organisasi secara keseluruhan, seluruh divisi dan departemen masing-masing harus konsisten dengan kebijakan tingkat korporasi, ini akan berlaku pada karyawan dan operasi pada unit ini dan akan focus pada tingkat operasional. Suatu pendekatan Top-down untuk mengembangkan lower-level policies diperlukan dalam kasus dimana kebijakan berasal dari kebijakan korporat. Namun, beberapa organisasi mulai dengan mendefinisikan operational-level policies sebagai prioritas. Perusahaan-perusahaan melihat ini sebagai pendekatan yang lebih hemat biaya sejak kebijakan ini sering berasal dan diimplementasikan sebagai hasil dari penilaian resiko (risk assessment). Ini adalah pendekatan bottom-up dimana kebijakan korporat merupakan pengembangan selanjutnya dan sistesis dari operational-level policies. Pendekatan ini mungkin tampak lebih praktis tetapi itu membuat suatu inkonsistensi dan situasi konflik dalam kebijakan itu sendiri. Manajemen harus mereview semua kebijakan secara periodik. Idealnya dokumen-dokumen ini harus mencamtumkan tanggal reviewnya, yang mana IS auditor harus memeriksa ketepatannya. Kebijakan perlu diperbaharui untuk merefleksikan kemajuan teknologi, perubahan dalam lingkungan dan perubahan signifikan dalam proses bisnis dalam memanfaatkan teknologi informasi untuk efisiensi dan efektifitas dalam produktifitas atau keuntungan kompetitif. Kebijakan yang dirumuskan harus mendukung pencapaian tujuan bisnis dan pelaksaan kontrol IS. Bagaimanapun,

manajemen harus tanggap terhadap kebutuhan pelanggan dan perubahan kebijakan yang dapat menghalangi kepuasan pelanggan atau kemampuan organisasi untuk mencapai tujuan bisnis. Pertimbangan ini harus memperhitungkan keamanan rahasia dan informasi yang mungkin berlawanan dengan kenyamanan pelanggan. Sama seperti setiap kontrol yang dibuat untuk memenuhi tujuan control, luas kebijakan di tingkat yang lebih tinggi dan kebijakan rinci pada tingkat yang lebih rendah harus selaras dengan tujuan bisnis. IS auditor harus memahami bahwa kebijakan merupakan bagian dari proses audit dan menguji kepatuhan kebijakan. Kontrol IS harus mulai dari kebijakan perusahaan dan IS auditor harus menggunakan kebijakan sebagai patokan untuk mengevaluasi kepatuhan. Namun, jika kebijakan ada yang menghambat pencapaian tujuan bisnis, kebijakan ini harus diidentifikasi dan dilaporkan untuk peningkatan. IS auditor juga harus mempertimbangkan sejauh mana kebijakan diaplikasikan untuk pihak ketiga atau outsourcers, kesesuaikan dengan kebijakan, dan apakah dalam kebijakan itu ada ketidaksesuaian dengan kebijakan perusahaan.

INFORMATION SECURITY POLICY


Sebuah kebijakan keamanan (security policy) mengkomunikasikan standar keamanan yang koheren kepada pengguna, manajemen dan staf teknis. Sebuah kebijakan keamanan untuk informasi dan teknologi terkait adalah langkah pertama menuju pembangunan infrastruktur keamanan untuk teknologi berbasis pada organisasi. Kebijakan sering menetapkan tahap dalam hal alat apa dan prosedur apa yang diperlukan oleh organisasi. Kebijakan keamanan harus menyeimbangkan tingkat kontrol dengan tingkat produktivitas. Juga, biaya kontrol tidak boleh melebihi manfaat

yang diharapkan. Dalam merancang dan menerapkan kebijakan ini, budaya dari organisasi akan memainkan peran penting. Kebijakan keamanan harus disetujui oleh manajemen senior dan harus didokumentasikan dan dikomunikasikan, yang sesuai untuk semua karyawan, penyedia layanan dan mitra bisnis (supplier). Kebijakan keamanan ini harus digunakan oleh IS auditor sebagai referensi kerangka kerja untuk melakukan berbagai tugas IS audit. Kecukupan dan kesesuaian kebijakan keamanan juga bisa menjadi daerah ulasan IS auditor. Kebijakan keamanan informasi memandu seluruh organisasi dengan

mendefinisikan apa yang perlu dilindungi, bertanggung jawab untuk melindungi, dan strategi yang diikuti untuk melakukan perlindungan. Kebijakan keamanan informasi menyediakan manajemen arah dan dukungan untuk keamanan informasi sesuai dengan persyaratan bisnis serta hukum dan peraturan yang relevan. Manajemen harus menetapkan arah kebijakan yang jelas sejalan dengan tujuan bisnis, dan menunjukkan dukungan dan komitmen terhadap keamanan informasi melalui penerbitan dan perawatan dari kebijakan keamanan informasi bagi organisasi.

INFORMATION SECURITY POLICY DOCUMENT


Dokumen kebijakan keamanan informasi harus menyatakan komitmen manajemen dan mengemukakan pendekatan organisasi untuk mengelola keamanan informasi. Standar ISO 27002 (atau standar nasional yang setara) dapat dianggap sebagai patokan dari isi yang tercakup dalam dokumen kebijakan keamanan informasi. Dokumen kebijakan itu harus memuat:

l A definition of information security, definisi keamanan informasi, mencakup tujuan dan lingkup dan pentingnya keamanan sebagai mekanisme yang memungkinkan untuk berbagi informasi. l A statement of management intent, Sebuah pernyataan tujuan manajemen, mendukung tujuan dan prinsip-prinsip keamanan informasi sesuai dengan strategi dan tujuan bisnis. l A framework for setting control objectives and controls, Sebuah kerangka kerja untuk menentukan tujuan pengendalian dan kontrol, termasuk struktur penilaian risiko dan manajemen risiko. l A brief explanation, Penjelasan singkat tentang kebijakan keamanan, prinsip, standard an persyaratan kepatuhan yang penting bagi organisasi termaksud:  Kepatuhan terhadap undang-undang, peraturan dan persyaratan kontrak.  Security education (pendidikan keamanan), pelatihan, dan kesadaran.  Manajemen kelangsungan bisnis.  Konsekuensi pelanggaran kebijakan keamanan informasi. l A definition of general and specific responsibilities, definisi dari tanggung jawab umum dan spesifik tentang manajemen keamanan informasi termasuk pelaporan insiden keamanan informasi l References to documentation which may support the policy, Referensi dokumentasi yang dapat mendukung kebijakan; misalnya kebijakan keamanan yang lebih rinci, standar, dan prosedur untuk sistem informasi yang spesifik atau aturan keamanan yang mana penggunanya harus mematuhi

Berdasarkan

pada

kebutuhan

dan

kesesuaian

organisasi

dapat

mendokumentasikan kebijakan keamanan informasi sebagai seperangkat kebijakan. kelompok-kelompok kebijakan berikut yang umumnya ditujukan: y High-Level Information Security Policy: kebijakan ini dapat memuat pernyataan mengenai kerahasiaan, integritas, dan ketersediaan. y Data Classification Policy: kebijakan ini menjelaskan klasifikasi, tingkat kontrol pada tiap klasifikasi, dan tanggung jawab dari semua pengguna potensial termaksud pemilik (ownership) y Acceptable Usage Policy: harus ada kebijakan komprehensif yang memuat informasi untuk semua sumber daya informasi (jaringan, internet, dll) dan menjelaskan ijin organisasi untuk penggunaan sumber daya IT dan informasi terkait. y Access Control Policies: Kebijakan ini menjelaskan metode untuk

mengidentifikasi dan memberikan akses kepada pengguna untuk berbagai sumber daya IT.

ACCEPTABLE USE POLICY


Penggunaan sumber daya IT yang tidak pantas oleh pengguna mengekpos resiko perusahaan, termasuk serangan virus, menbahayakan sistem jaringan dan jasa, masalah hukum. Ini adalah praktek umum yang membutuhkan anggota baru dari perusahaan untuk menandatangani sebuah pengakuan sebelum menerima akses ke sistem informasi. Pengakuan ini disebut acceptable use policy (AUP). AUP ini membuat pedoman atau aturan yang diberlakukan oleh perusahaan untuk mengontrol bagaimana sumber daya sistem informasi akan digunakan.

AUP harus menjelaskan apa yang perusahaan anggap sebagai penggunaan computer yang dapat diterima dengan tujuan melindungi baik karyawan dan perusahaan dari konsekuensi tindakan yang illegal. Untuk alasan ini, AUP harus ringkas dan jelas, sementara pada saat yang sama meliputi poin yang paling penting seperti dengan mendefinisikan siapa yang diaanggap pengguna dan apa yang diizinkan untuk dilakukan pengguna dengan sistem IT. AUP juga harus menentukan dengan jelas sanksi yang akan diterima jika pengguna gagal untuk mematuhi AUP. Kepatuhan terhadap kebijakan ini harus diukur dengan audit reguler.

REVIEW OF THE INFORMATION SECURlTY POLICY


Kebijakan keamanan informasi harus direview dalam rentang yang telah direncanakan atau ketika perubahan yang signifikan terjadi untuk memastikan apakah kesesuaian, kecukupan, dan efektifitas masih sesuai. Kebijakan keamanan informasi harus memiliki seorang pemilik yang disetujui manajemen tanggung jawab untuk meninjau, mengevaluasi kebijakan keamanan. Ketika mereview kebijakan itu IS auditor perlu melakukan penilaian berikut: y Dasar kebijakan yang telah ditetapkan-umumnya, itu didasarkan pada proses manajemen resiko. y y y Ketepatan dari kebijakan-kebijakan Isi kebijakan Pengecualian untuk kebijakan, dengan jelas mencatat di area mana kebijakan tidak dapat diaplikasikan dan mengapa (misalnya, kebijakan password mungkin tidak compatible dengan aplikasi terdahulu) y y Proses persetujuan kebijakan Efektivitas dari implementasi kebijakan

y y

Kesadaran dan pelatihan Review periodik dan proses pembaharuan.

PROSEDUR
Prosedur adalah langkah-langkah rinci yang didefinisikan dan didokumentasikan untuk pelaksanaan kebijakan. Mereka harus berasal dari kebijakan sebelumnya dan harus menerapkan semangat (maksud) dari pernyataan kebijakan itu. Prosedur harus ditulis secara jelas dan ringkas sehingga dapat dengan mudah dipahami dengan baik oleh pihak yang diatur dalam kebijakan. Prosedur dirumuskan oleh pemilik proses. Salah satu aspek yang paling penting berkaitan dengan prosedur adalah Apakah prosedur harus diketahui oleh pihak yang diatur. Suatu prosedur yang tidak sepenuhnya diketahui oleh personil yang menggunakannya pada dasarnya tidaklah efektif. Oleh karena itu, harus ada perhatian untuk penyebaran metode dan mekanisme penyimpanan terotomatisasi, mendistribusikan dan mengelola prosedur IT. Sebuah kajian independen diperlukan untuk memastikan bahwa kebijakan dan prosedur telah didokumentasikan dengan baik, dipahami dan diimplementasikan. Pihak yang mereview harus menjaga independensi setiap saat dan tidak terpengaruh oleh siapapun dalam kelompok yang direview. Bukti pekerjaan yang dilakukan harus memadai dan memberikan pengkaji suatu tingkatan keyakinan bahwa pekerjaan dilakukan sesuai dengan kebijakan dan prosedur yang telah dibangun. Ulasan dapat dilakukan sebagai bagian dari fungsi IT, mengimplementasikan Software Engineering Institute's Capability Maturity Model (CMM), lnformation Technology Infrastructure Library (ITIL) atau ISO standards.