COBITCONTROLPRACTICES, 2ND EDITION Aku T G 124 O V E R N A N C E I N S T I T U T E DS-MEMBERIKAN DAN DUKUNGAN Aku T G O V E R N A N C E I N S T I T U T E 125 DS7.

3 Evaluasi Pelatihan Diterima Evaluasi pendidikan dan pengiriman konten pelatihan setelah selesai untuk relevansi, kualitas, efektivitas, mempertahankan pengetahuan, biaya dan nilai. Hasil evaluasi ini harus menjadi masukan untuk definisi kurikulum masa depan dan pengiriman sesi pelatihan. Praktek kontrol 1. Menguji pemahaman pengguna 'dari isi sesi pelatihan setelah sesi selesai untuk mengukur pemahaman tentang pelatihan yang diterima. 2. Meringkas dan menganalisa bentuk-bentuk evaluasi selesai setelah sesi pendidikan dan pelatihan untuk mengukur kualitas dan relevansi konten dan tingkat kepuasan peserta. 3. Mendapatkan umpan balik pemangku kepentingan untuk menentukan tingkat kepuasan dengan pendidikan dan pelatihan yang diberikan. 4. Untuk jadwal yang telah ditentukan, menentukan langkah-langkah dan menangkap dan menilai informasi kinerja (misalnya, berkurang panggilan help desk, meningkatkan produktivitas pengguna) yang dapat menunjukkan apakah pelatihan memiliki dampak yang diinginkan. 5. Evaluasi pengukuran dikumpulkan untuk mengidentifikasi dan menerapkan pembaruan ke rencana pelatihan yang ada. Kontrol Tujuan Nilai Drivers Program pelatihan yang efektif berbasis pada masukan dari pengguna Program pelatihan yang relevan Peningkatan kualitas pelatihan program Isi pelatihan tepat pengguna dirancang dan disusun untuk membantu mempertahankan dan menggunakan kembali pengetahuan pelacakan Efektif / monitoring biaya (keuangan, material, dll) dan nilai ditambahkan Driver risiko Pelatihan pantas dan tidak efektif program yang dipilih materi pelatihan Usang digunakan Penurunan kualitas pengguna akhir program pelatihan desain konten Pelatihan dan struktur gagal untuk membantu retensi pengetahuan

dan penggunaan kembali Biaya Pelatihan outweighing manfaatnya dan nilai tambah DS7 Mendidik dan Pengguna kereta api (lanjutan) DS7.2 Pengiriman Pelatihan dan Pendidikan Berdasarkan pendidikan dan pelatihan kebutuhan yang teridentifikasi, mengidentifikasi kelompok sasaran dan anggota mereka, mekanisme yang efisien pengiriman, guru, pelatih, dan mentor. Menunjuk pelatih dan mengatur sesi pelatihan tepat waktu. Pendaftaran Rekam (Termasuk persyaratan), kehadiran dan kinerja sesi pelatihan evaluasi. Praktek kontrol 1. Menerapkan proses berdasarkan kebutuhan bisnis dan dukungan usaha untuk menentukan programprogram pelatihan yang efektif, dan memberikan program pada waktu yang tepat berdasarkan pada kebutuhan diidentifikasi, mekanisme pengiriman (misalnya, ruang kelas, berbasis komputer) dan kualifikasi pelatih. 2. Memantau dan merekam kehadiran dan untuk penyelesaian program pelatihan dan pendidikan. Mengambil tindakan yang sesuai jika individu tidak menyelesaikan pelatihan yang diperlukan untuk peran mereka. 3. Menangkap peserta dan pelatih umpan balik setelah selesai pelatihan. Memasukkan umpan balik ke dalam proses untuk mengevaluasi program pelatihan dan pemberian pelatihan mekanisme. Kontrol Tujuan Nilai Drivers dibakukan dan dikomunikasikan komitmen manajemen untuk pelatihan pelatih yang efektif dan pelatihan program kehadiran yang cukup dan keterlibatan dalam program pelatihan dan sesi Driver Risiko Pelatihan pantas dan tidak efektif program dan mekanisme yang dipilih materi pelatihan Usang digunakan Kehadiran dan keterlibatan Miskin tercatat DS7.1 Identifikasi Pendidikan dan Pelatihan Kebutuhan Membangun dan update secara berkala kurikulum untuk setiap kelompok sasaran karyawan mempertimbangkan: kebutuhan bisnis saat ini dan masa depan dan strategi Nilai informasi sebagai aset Nilai Perusahaan (nilai-nilai etika, kontrol dan budaya keamanan, dll) Pelaksanaan baru infrastruktur TI dan perangkat lunak (misalnya, paket, aplikasi)

 keterampilan saat ini dan masa depan, profil kompetensi, dan sertifikasi dan / atau credentialing kebutuhan serta diperlukan reakreditasi Metode Pengiriman (misalnya, ruang kelas, berbasis web), ukuran kelompok sasaran, aksesibilitas dan waktu Praktek kontrol 1. Menerapkan proses untuk mengidentifikasi persyaratan yang telah ditentukan (seperti untuk sertifikasi) dan / atau membuat persyaratan kompetensi untuk peran pengguna, dan menggunakan ini untuk merencanakan kurikulum pelatihan untuk semua kelompok sasaran pengguna. Proses ini memastikan bahwa pelatihan dan dukungan kepatuhan pendidikan dengan kebijakan bisnis sambil memberikan dan mendukung jalur karir karyawan. 2. Menjaga database keterampilan yang berisi analisis kesenjangan antara keterampilan yang dibutuhkan oleh pengguna dan penyedia internal teknologi dan keterampilan dan pengetahuan yang tersedia. Database ini juga harus mencakup profil dan catatan dari setiap sertifikasi keterampilan yang diperoleh oleh pengguna kompetensi. 3. Memasukkan kebutuhan pelatihan teknologi ke dalam rencana kinerja individu pengguna. 4. Menerapkan proses untuk mengumpulkan dan menganalisis informasi dari meja layanan dan mengidentifikasi kebutuhan pelatihan. Kontrol Tujuan Nilai Drivers Kebutuhan pelatihan untuk personil diidentifikasi untuk memenuhi kebutuhan bisnis Sebuah dasar untuk penggunaan efektif dari teknologi organisasi dengan personil, baik langsung dan masa depan Pembentukan dan pelatihan program pendidikan yang relevan dengan risiko dan peluang organisasi menghadapi saat ini dan pada masa depan kemampuan aplikasi Terpasang dioptimalkan untuk memenuhi kebutuhan bisnis Driver Risiko Anggota staf cukup terlatih untuk memenuhi fungsi pekerjaan mereka Mekanisme pelatihan yang tidak efektif Pelatihan yang diberikan tidak sesuai untuk kebutuhan pelatihan kemampuan aplikasi Terpasang kurang dimanfaatkan

DS11 COBITCONTROLPRACTICES, 2ND EDITION Aku T G 134 O V E R N A N C E I N S T I T U T E DS11.1 Kebutuhan Bisnis untuk Manajemen Data Verifikasi bahwa semua data yang diharapkan untuk pemrosesan diterima dan diproses lengkap, akurat dan tepat waktu, dan semua output disampaikan dalam sesuai dengan kebutuhan bisnis. Dukungan restart dan kebutuhan pengolahan. Praktek kontrol 1. Tentukan kebutuhan bisnis untuk pengelolaan data dengan IT. 2. Menentukan dan melaksanakan kebijakan yang membahas pemisahan tugas dalam operasi untuk entri, pengolahan dan otorisasi transaksi data, termasuk menimpa dan koreksi. Mengatasi tanggungjawab untuk pemisahan tugas dalam kedua bisnis dan operasi. 3. Pastikan bahwa kelengkapan data dan restart dan persyaratan pengolahan termasuk dalam jadwal pekerjaan batch dan prosedur. 4. Mendefinisikan dan menerapkan proses yang memastikan bahwa input data yang disusun dengan pemeriksaan tertanam untuk kelengkapan, keabsahan, akurasi, keamanan, otorisasi dan integritas. 5. Mendefinisikan dan menerapkan proses yang memastikan bahwa semua kesalahan operasional yang membutuhkan pengolahan transaksi yang dibawa ke perhatian dari bisnis berasal fungsi dan dikirim ulang secara tepat waktu. Semua transaksi yang keliru harus melalui pemeriksaan yang sama untuk pemisahan tugas, kelengkapan, keabsahan, dll, seperti untuk pengolahan data pertama kali. 6. Seperti yang tepat dan sesuai dengan kebijakan keamanan yang ditetapkan, berkomunikasi dengan pelanggaran keamanan manajemen selama setiap fase operasional penerimaan data, pengolahan dan transmisi. 7. Mendefinisikan dan menerapkan proses yang memverifikasi dan log distribusi output ke departemen yang sesuai, dengan penanganan khusus dari informasi rahasia. 8. Mendefinisikan dan menerapkan proses yang benar dan perlindungan sumber data toko dan mencegah modifikasi yang tidak sah mereka. 9. Kebijakan dan prosedur Institut retensi data yang diterima dari bisnis dan kehancuran mereka berikutnya menurut sensitivitas data itu. Kontrol Tujuan Nilai Drivers Manajemen data dalam mendukung kebutuhan bisnis Pedoman penanganan data data transaksi resmi dijaga penyimpanan sumber Driver Risiko Manajemen data gagal untuk mendukung kebutuhan bisnis Pelanggaran keamanan

 Bisnis, hukum dan peraturan persyaratan tidak terpenuhi DS11 Manage data

DS-MEMBERIKAN DAN DUKUNGAN Aku T G O V E R N A N C E I N S T I T U T E 135 DS11.2 Penyimpanan dan Pengaturan Retensi Menetapkan dan menerapkan prosedur untuk penyimpanan data yang efektif dan efisien, retensi dan pengarsipan untuk memenuhi tujuan bisnis, keamanan organisasi kebijakan dan persyaratan peraturan. Praktek kontrol 1. Menetapkan prosedur penyimpanan dan retensi yang membahas kebijakan keamanan organisasi dan mengubah prosedur manajemen, termasuk enkripsi dan otentikasi. Mempertimbangkan data dan kunci dan sertifikat yang digunakan untuk enkripsi dan otentikasi. 2. Menetapkan penyimpanan dan pengaturan retensi untuk memenuhi hukum, peraturan dan persyaratan bisnis untuk dokumen, data, arsip, program, laporan dan pesan (Masuk dan keluar). 3. Menetapkan dan menerapkan prosedur yang menggambarkan penggunaan alat-alat manajemen data, misalnya, akses kontrol, gerakan dan pembersihan data. 4. Pertimbangkan dampak perubahan saat ini dan masa depan dalam perangkat keras dan perangkat lunak pada standar pengambilan dan pengolahan data arsip. 5. Menetapkan dan menerapkan prosedur yang menggambarkan akses ke alat manajemen data dan media penyimpanan yang terkait. Batasi akses ke personil yang berwenang. 6. Analisis jenis media data yang disimpan dan diarsipkan untuk mendefinisikan persyaratan lingkungan, misalnya, kelembaban dan suhu. Memantau dan meninjau penyimpanan fisik lingkungan. 7. Berkala meninjau integritas dan kegunaan dari media magnetik. Melaporkan secara berkala dan melacak kesalahan disk. Selidiki tren untuk memastikan bahwa media yang masih dapat digunakan. Ganti media yang rentan terhadap degradasi, seperti tape dan DVD-ROM. Kontrol Tujuan Nilai Drivers Manajemen data dalam mendukung kebutuhan bisnis Pedoman penanganan data dijaga penyimpanan sumber Data yang diambil dengan cara yang efisien Driver Risiko Data tidak dilindungi dari yang tidak sah melihat atau mengubah Dokumen tidak diambil bila diperlukan

 Ketidakpatuhan terhadap peraturan dan kewajiban hukum akses data tidak sah DS11 Manage Data (lanjutan) DS11.3 Media Library Management System Menetapkan dan menerapkan prosedur untuk menjaga inventarisasi disimpan dan diarsipkan media untuk memastikan kegunaan dan integritas mereka. Praktek kontrol 1. Menetapkan tanggung jawab dalam TI berfungsi untuk pengembangan dan pemeliharaan kebijakan dan prosedur pengelolaan perpustakaan media. 2. Pastikan bahwa sistem manajemen perpustakaan media menentukan hak keamanan dan akses. 3. Menjaga daftar inventaris media diarsipkan untuk membatasi kesempatan untuk kehilangan data. 4. Meninjau secara teratur media diinventarisasi dengan daftar. Menyelidiki dan memperbaiki setiap perbedaan dan media hilang, dan melaporkan kepada manajemen. Kontrol Tujuan Nilai Drivers Akuntansi semua media Peningkatan manajemen cadangan Menjaga ketersediaan data Mengurangi waktu untuk pemulihan data yang Driver Risiko integritas Media dikompromikan Media Backup tersedia ketika dibutuhkan akses tidak sah ke data kaset Penghancuran backup Ketidakmampuan untuk menentukan lokasi media backup

COBITCONTROLPRACTICES, 2ND EDITION Aku T G 136 O V E R N A N C E I N S T I T U T E DS11.4 Pembuangan Menetapkan dan menerapkan prosedur untuk memastikan bahwa kebutuhan bisnis untuk perlindungan data dan perangkat lunak sensitif terpenuhi ketika data dan perangkat keras yang dibuang atau ditransfer. Praktek kontrol 1. Jelas mendefinisikan tanggung jawab untuk pengembangan dan komunikasi kebijakan mengenai pembuangan. 2. Sanitise peralatan dan media yang mengandung informasi sensitif sebelum menggunakan kembali atau pelepasan. Proses tersebut harus memastikan bahwa data yang ditandai sebagai 'dihapus' atau 'harus dibuang'

tidak bisa diambil (misalnya, media yang mengandung data yang sangat sensitif harus secara fisik hancur). 3. Untuk mempertahankan audit trail, log pembuangan peralatan atau media yang mengandung informasi sensitif. 4. Tentukan prosedur untuk menghapus media yang aktif dari daftar inventaris media yang saat dilepaskan. 5. Transportasi unsanitised peralatan dan media dalam cara yang aman selama proses pembuangan. 6. Mengharuskan kontraktor pembuangan memiliki keamanan fisik yang diperlukan dan prosedur untuk menyimpan dan menangani peralatan dan media sebelum dan selama pembuangan. Kontrol Tujuan Nilai Drivers perlindungan yang tepat perusahaan informasi Peningkatan pengelolaan cadangan Menjaga ketersediaan data Driver risiko Pengungkapan informasi perusahaan berkompromi integritas sensitif data akses tidak sah ke data kaset DS11 Manage Data (lanjutan)

DS-MEMBERIKAN DAN DUKUNGAN Aku T G O V E R N A N C E I N S T I T U T E 137 DS11.5 Backup dan Restorasi Menetapkan dan menerapkan prosedur untuk backup dan pemulihan sistem, aplikasi, data dan dokumentasi sesuai dengan kebutuhan bisnis dan rencana kesinambungan. Praktek kontrol 1. Berkala mengidentifikasi data penting yang mempengaruhi operasi bisnis, sejalan dengan model manajemen risiko dan layanan TI serta rencana kesinambungan bisnis. 2. Menetapkan kebijakan dan prosedur untuk backup sistem, aplikasi, data dan dokumentasi yang mempertimbangkan faktor-faktor seperti: Frekuensi cadangan (misalnya, mirroring disk untuk backup real-time vs DVD-ROM untuk retensi jangka panjang) Tipe cadangan (misalnya, penuh vs tambahan) Jenis media backup secara online Otomatis Tipe data (misalnya, suara, optik) Penciptaan log Data end-user computing Kritis (misalnya, spreadsheet)

 Lokasi fisik dan logis dari sumber data Keamanan dan hak akses Enkripsi 3. Menetapkan tanggung jawab untuk mengambil dan memantau backup. 4. Jadwal, mengambil dan log backup sesuai dengan kebijakan dan prosedur yang telah ditetapkan. 5. Memastikan bahwa sistem, aplikasi, data dan dokumentasi yang dipelihara atau diproses oleh pihak ketiga secara memadai didukung atau dijamin. Mempertimbangkan membutuhkan kembali backup dari pihak ketiga. Pertimbangkan escrow atau pengaturan deposito. 6. Menetapkan persyaratan bagi onsite dan offsite penyimpanan data cadangan yang memenuhi kebutuhan bisnis. Pertimbangkan aksesibilitas yang diperlukan untuk membuat cadangan data. 7. Berkala melakukan tes restorasi yang cukup untuk memastikan bahwa semua komponen backup dapat secara efektif dipulihkan. 8. Setuju dan berkomunikasi dengan bisnis atau proses TI pemilik kerangka waktu yang dibutuhkan untuk pemulihan. 9. Pemulihan data Prioritaskan berdasarkan kebutuhan bisnis dan TI prosedur kelangsungan pelayanan. Kontrol Tujuan Nilai Drivers Corporate information dengan benar pulih Peningkatan cadangan manajemen selaras dengan kebutuhan bisnis dan rencana cadangan Menjaga ketersediaan data dan integritas Driver Risiko Pengungkapan informasi perusahaan Ketidakmampuan untuk memulihkan data cadangan ketika dibutuhkan Prosedur Pemulihan gagal memenuhi kebutuhan bisnis Ketidakmampuan untuk mengembalikan data dalam hal bencana persyaratan waktu pantas untuk melakukan backup DS11 Manage Data (lanjutan)

COBITCONTROLPRACTICES, 2ND EDITION Aku T G 138 O V E R N A N C E I N S T I T U T E DS11.6 Keamanan Persyaratan untuk Manajemen Data Mendefinisikan dan mengimplementasikan kebijakan dan prosedur untuk mengidentifikasi dan menerapkan keamanan persyaratan yang berlaku untuk penerimaan, pengolahan, penyimpanan dan output data untuk memenuhi tujuan bisnis, kebijakan keamanan organisasi dan peraturan persyaratan. Praktek kontrol 1. Mendefinisikan dan menerapkan proses untuk secara jelas mengidentifikasi data sensitif. Pertimbangkan kebutuhan bisnis untuk kerahasiaan data, serta hukum dan peraturan yang berlaku. Berkomunikasi dan menyetujui klasifikasi data dengan pemilik proses bisnis. 2. Mendefinisikan dan menerapkan kebijakan untuk melindungi data sensitif dan pesan dari akses yang tidak sah dan transmisi tidak benar dan transportasi, termasuk, namun tidak terbatas pada, enkripsi, kode pesan otentikasi, total hash, kurir terikat dan tamper-resistant kemasan untuk transportasi fisik. 3. Menetapkan persyaratan untuk akses fisik dan logis untuk data output. Jelas mendefinisikan dan mempertimbangkan kerahasiaan output. 4. Menetapkan aturan dan prosedur untuk akses pengguna akhir untuk data dan manajemen dan cadangan data sensitif. Menetapkan aturan dan prosedur untuk aplikasi pengguna akhir yang buruk dapat mempengaruhi data yang disimpan pada komputer pengguna akhir atau aplikasi jaringan atau data (misalnya, mempertimbangkan kebijakan hak pengguna pada komputer pribadi jaringan). 5. Memastikan bahwa program yang tepat dilembagakan untuk menciptakan dan memelihara kesadaran keamanan dalam penanganan dan pengolahan data sensitif. 6. Pastikan bahwa fasilitas pengolahan informasi sensitif berada dalam lokasi fisik yang aman. Ini harus dilindungi oleh perimeter keamanan didefinisikan ditambah dengan surveilans yang tepat, hambatan keamanan dan kontrol entri. Mempertimbangkan desain infrastruktur fisik untuk mencegah risiko kebakaran, gangguan atau eksternal menyerang, atau akses yang tidak sah. Pertimbangkan keluaran drop-off poin aman untuk output sensitif atau transfer data ke pihak ketiga. Kontrol Tujuan Nilai Drivers Informasi sensitif diamankan dengan baik dan dilindungi Kemampuan untuk melihat atau mengubah informasi tersedia untuk pengguna yang berwenang Kelengkapan dan akurasi data yang dikirimkan Driver Risiko Data Sensitif disalahgunakan atau hancur akses data tidak sah Ketidaklengkapan dan ketidaktelitian data yang dikirimkan

 Data yang diubah oleh pengguna yang tidak sah DS11 Manage Data (lanjutan)