TUGAS
AUDIT SISTEM INFORMASI
PERBANDINGAN ANTARA COBIT 5 DAN ISO YANG BERKAITAN DENGAN
INFORMATION TECHNOLOGY (IT)
Disusun oleh:
ABUYASIN SABDA HANI (1)
AHMAD SURYAWAN OKTAFIADI (5)
ARIEF ISTI PRAMUSINTA (9)
FERDHI FIAN ANSHORI (13)
I GEDE YUDI HENRAYANA (17)
MIKHA ANDRI MANALU (21)
OSCAR EDO CHRISANDY (25)
PUTU AGUS RAY KARUNIA (29)
RICKY NUGRAHA LAUDA (33)
TRI MULYADI WIBOWO (37)
KELAS 9A DIV AKUNTANSI ALIH PROGRAM
POLITEKNIK KEUANGAN NEGARA STAN
2016
bisnis
perusahaan
akan
menjadi
jauh
lebih
transparan
dan
dapat
dipertanggungjawabkan. Selain itu, akuntabilitas tiap fungsi atau individu akan semakin
jelas. Tata kelola IT bukan hanya penting bagi teknis IT saja, tetapi juga direksi dan
bahkan komisaris, yang bertanggung jawab terhadap investasi dan pengelolaan risiko
perusahaan dengan tujuan untuk meraih keuntungan optimum investasi IT dan sekaligus
memastikan semua potensi risiko investasi IT telah diantisipasi dan dapat dikendalikan.
Keputusan bisnis yang baik harus didasarkan pada pengetahuan yang berasal dari
informasi yang relevan, komprehensif, dan tepat waktu yang mana membutuhkan tata
kelola IT yang baik. Karena penerapan IT ini memerlukan biaya yang tidak sedikit dan
disertai risiko kegagalan yang tidak kecil, maka IT harus dikelola selayaknya aset
perusahaan lainnya. Penerapan IT di perusahaan harus ditunjang dengan suatu tata
kelola IT (IT Governance) mulai dari perencanaan sampai implementasinya yang
mengacu pada standar yang sudah mendapatkan pengakuan secara luas. Ada beberapa
standar tata kelola IT yang digunakan oleh perusahaan-perusahaan di dunia, dua di
antaranya adalah COBIT dan ISO.
COBIT (Control Objectives for Information and related Technology) adalah suatu
panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi
best practices untuk tata kelola IT yang dapat membantu auditor, manajemen, dan
pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan
pengendalian, dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT
Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi
pada bisnis. Olejh karena itu, business process owners dan manajer, termasuk juga
auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaikbaiknya. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada
tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada
manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei
2007 lebih mengarah pada tata kelola IT, dan terakhir COBIT versi 5 pada bulan Juni
2012 yang menekankan tata kelola IT pada perusahaan.
Sementara itu, Organisasi Standar Internasional, atau yang disebut dengan istilah
ISO, adalah suatu asosiasi global yang terdiri dari badan-badan standardisasi nasional
yang beranggotakan tidak kurang dari 140 negara. ISO merupakan suatu organisasi di
luar pemerintahan (Non-Government Organization/NGO) yang berdiri sejak tahun 1947.
Misi dari ISO adalah untuk mendukung pengembangan standardisasi dan kegiatankegiatan terkait lainnya dengan harapan untuk membantu perdagangan internasional,
dan juga untuk membantu pengembangan kerjasama secara global di bidang ilmu
pengetahuan, teknologi dan kegiatan ekonomi. Kegiatan pokok ISO adalah menghasilkan
kesepakatan-kesepakatan internasional yang kemudian dipublikasikan sebagai standar
internasional. ISO yang berkaitan dengan IT di antaranya ISO 27001, ISO 27002, dan
ISO 31000.
Tulisan ini akan membahas mengenai perbandingan antara COBIT 5 dan ISO
yang berkaitan dengan IT. Tulisan ini diharapkan mampu memberikan pemahanan yang
komprehensif kepada pembaca mengenai COBIT 5 dan ISO yang berkaitan dengan IT.
Pemahaman komprehensif atas setiap standar tentunya akan membantu perusahaan
untuk memilih standar tata kelola TI yang paling sesuai dengan sumber daya dan
kebutuhan perusahaan.
organisasi dalam mencapai tujuan mereka melalui tata kelola dan manajemen IT
organisasi. Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai yang
optimal dari IT dengan menjaga suatu keseimbangan antara menciptakan manfaat dan
optimalisasi risiko dan penggunaan sumber daya. COBIT 5 memungkinkan IT untuk
diatur dan dikelola secara holistik untuk keseluruhan perusahaan, yang mencakup dari
hulu sampai hilir kegiatan perusahaan. COBIT 5 bersifat generik dan berguna untuk
organisasi untuk semua ukuran, baik yang komersial, nirlaba, atau di sektor publik.
COBIT 5 memiliki 5 prinsip, yaitu meeting stakeholder needs, covering enterprise
end-to-end, applying a single intergrated framework, enabling a holistic approach, dan
separating governance from management. Penjelasan singkatnya adalah sebagai berikut:
1.
semua proses yang diperlukan dan enabler lain untuk mendukung penciptaan nilai
melalui penggunaan IT. Karena setiap perusahaan memiliki tujuan yang berbeda, sebuah
perusahaan dapat menyesuaikan COBIT 5 sesuai dengan konteks sendiri melalui goal
cascade, menerjemahkan tujuan perusahaan (level atas) menjadi tujuan yang lebih
spesifik dan terkait dengan IT.
2.
tata kelola IT yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola
perusahaan dengan mulus. Prinsip kedua ini juga meliputi semua fungsi dan proses yang
dibutuhkan untuk mengatur dan mengelola IT perusahaan di manapun informasi
diproses. Dalam lingkup perusahaan, COBIT 5 menangani semua layanan IT dan proses
bisnis internal maupun eksternal perusahaan.
3.
sehingga perusahaan dapat menggunakan COBIT 5 sebagai framework tata kelola umum
dan integrator. Selain itu, prinsip ini menyatukan semua pengetahuan yang sebelumnya
tersebar dalam berbagai framework ISACA (COBIT, VAL IT, Risk IT, BMIS, ITAF, dll).
4.
Information
f.
manajemen. Kedua hal tersebut mencakup berbagai kegiatan yang berbeda, memerlukan
struktur organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.
3
31000. Gambaran umum dari ISO yang berkaitan dengan IT adalah sebagai berikut.
1. Gambaran Umum ISO 27001
ISO 27001 adalah bagian dari seri ISO 27000 tentang standar manajemen sistem
informasi (Information Systems Management/ISM). ISO 27001 mendefinisikan metode
dan praktik implementasi keamanan informasi (information security) dalam organisasi.
ISO 27001 berisi langkah-langkah rinci tentang bagaimana implementasi keamanan
informasi. ISO 27001 bertujuan untuk menyediakan komunikasi dan pertukaran data
dalam organisasi yang andal dan aman. Selain itu, ISO 27001 menekankan pada suatu
pendekatan risiko (risk approachi) untuk mencapai tujuannya.
ISO
27001
memberikan
arahan
yang
sangat
dalam
mengenai
cara
membutuhkan
panduan
mengenai
implementasi
keamanan
informasi.
Namun, karena sifat ISO 27001 sebagai standalone standard, maka sistem informasi
yang menerapkan ISO 27001 lebih susah diintegrasikan ke dalam sistem yang lebih
besar.
2. Gambaran Umum ISO 27002
ISO 27002 adalah seperangkat standar dan prosedur yang berkaitan dengan
keamanan dan kontrol informasi yang memungkinkan bisnis untuk menerapkan
keamanan yang tepat. ISO 27002 banyak berbicara tentang aspek kontrol. ISO 27002
memuat ratusan cara untuk menangani keamanan informasi dan memiliki banyak bab
tentang cara mengamankan informasi. Meskipun keamanan informasi biasanya identik
dengan IT, tetapi ISO 27002 juga berkaitan dengan mengamankan informasi di atas
kertas. Sebagian besar dari standar dalam ISO 27002 ini ditujukan untuk departemen IT.
Dalam rilis pertama, standar 27002 dimaksudkan untuk meliputi semua lembaga
yang membutuhkan keamanan informasi. Ini berarti perusahaan, organisasi non-profit,
lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama.
Namun, versi selanjutnya memisahkan standar untuk berbagai sektor agar lebih efisien.
Beberapa bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan
informasi, sementara yang lain memuat cara sebuah bisnis untuk mengontrol akses dan
kelangsungan usaha dengan prosedur keamanan mereka.
ISO 27002 berisi rincian tentang pengendalian dan prosedur yang digunakan
untuk menjaga informasi tetap aman. Standar lainnya, seperti ISO 27001, hanya berisi
bagian kecil tentang kontrol. Sebaliknya, 27002 banyak berkaitan dengan kontrol tapi
menawarkan sedikit dalam hal manajemen. Pada ISO 27001, semua aspek manajemen
tersebut turut dimasukkan.
3. Gambaran Umum ISO 31000
ISO 31000: 2009 Risk Management Principles and Guidelines merupakan
sebuah standar internasional yang disusun dengan tujuan memberikan prinsip dan
panduan generik untuk penerapan manajemen risiko. Standar internasional yang
diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi
dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walaupun ISO
31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk
menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan
standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan
terhadap pencapaian sasaran organisasi. ISO 31000: 2009 menyediakan prinsip,
kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur
manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses
manajemen risiko. Terdapat sebelas prinsip manajemen risiko yang harus dipegang teguh
dan diterapkan saat membangun kerangka kerja dan melakukan implementasi proses
manajemen risiko. Kesebelas prinsip tersebut adalah
a. Memberikan nilai tambah dan melindungi nilai organsasi;
b. Bagian terpadu dari seluruh proses organisasi;
c. Bagian dari pengambilan keputusan;
d. Secara khusus menangani ketidakpastian;
e. Sistematis, terstruktur, dan tepat waktu;
f.
j.
4. Perlakuan risiko;
5. Monitoring dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses
manajemen
risiko
berdasarkan
ISO
31000:
2009
tersebut
diharapkan
dapat
memberikan rincian implementasi tata kelola IT yang baik. Rincian implementasi tata
kelola IT yang baik diserahkan kepada user dari COBIT 5.
Dibandingkan dengan COBIT 5, ISO merupakan framework yang lebih khusus,
spesifik, sempit, serta detil (rinci). ISO memberikan arahannya disertai dengan panduan
dan contoh dalam implementasinya. Oleh karena itu, pengimplementasian ISO
cenderung lebih mudah dilakukan daripada COBIT 5 yang bahasanya sedikit abstrak.
Contohnya, ISO 27002 berbicara mengenai IT Security secara mendalam. ISO 27002
membahas mengenai bagaimana menangani risiko dari virus, cara memproteksi data,
bagaimana informasi sebaiknya disebarkan, dan siapa yang bertanggung jawab atas
keamanan informasi. Sementara itu, COBIT 5 tidak membahas hal-hal yang detil seperti
pada ISO 27002. Akan tetapi, hal ini tidak berarti bahwa kedua framework tersebut
(COBIT 5 dan ISO) tidak kompatibel. Dalam hal-hal tertentu, COBIT 5 dan ISO memiliki
fungsi yang sama. Meskipun demikian, COBIT 5 dan ISO tidaklah saling berbenturan,
malahan saling melengkapi. Hal tersebut dapat dilihat pada Gambar 4.
Gambar 4
Hubungan antara COBIT, ISO, ITIL, dan COSO
Salah satu irisan yang terjadi pada Gambar 4 di atas adalah antara COBIT 5 dan
ISO seri 9000 (terutama ISO 9001). ISO 9001 berlaku sebagai standarisasi manajemen
kualitas (standard quality control). ISO 9001 sebagai standard quality control juga
9
mengatur mengenai quality control di bidang IT. COBIT 5 dan ISO 9001 bersinggunggan
pada area quality control yang terkait dengan IT.
Selain itu, COBIT 5 dan ISO 27002 juga beririsan pada Gambar 4. COBIT 5
merupakan suatu Information System framework, sementara ISO ISO 27002 (beserta
ISO seri 27000 lainnya) merupakan information security framework. Information security
yang terkait dengan IT sendiri adalah bagian dari sistem informasi. ISO 27002 selain
mengatur mengenai keamanan informasi terkait IT juga mengatur tentang keamanan
informasi selain berbasis IT. Oleh karena itu, COBIT 5 dan ISO 27002 beririsan pada
bagian IT security framework.
Selain dengan ISO 9001 dan ISO 27002, COBIT 5 juga memiliki keterkaitan
dengan ISO 3100 yang mengatur mengenai manajemen risiko. Penjelasan lebih rinci
mengenai perbandingan antara COBIT 5 dan ISO 27002 dan ISO 31000 adalah sebagai
berikut.
III.1.
diakui secara internasional dan sebagai standar yang dapat digunakan sesuai kebutuhan
entitas sehingga tidak perlu diadopsi seluruhnya sehingga dapat merespon apabila terjadi
kesalahan/kerusakan sistem informasi. Selain itu, COBIT 5 dan ISO 27002 juga dapat kita
bandingkan dari berbagai sudut pandang, seperti tujuan, common usage, kelebihan,
kekurangan, sertifikasi dan akreditasi, serta waktu penggunaannya. Perbandingan antara
COBIT 5 dan ISO 27002 secara rincinya dapat dilihat pada Tabel 1 berikut.
Tabel 1
Perbandingan antara COBIT 5 dan ISO 27002
Tujuan
COBIT
COBIT 5 (diterbitkan oleh ITGI)
ISO
adalah
suatu
high-level
ISO 27002
27002
memberikan
standar
ISO
27002
dan
NIST)
yang
yang
cara
sering
yang
keberhasilan
melaksanakan
memungkinkan
organisasi
kebijakan
ISMS
dalam
(Information
pelaksanaannya
digunakan
bersama
prosedur kunci.
ISO 27001 hanya merumuskan
Persamaan COBIT 5 dengan ISO
sistem
manajemen
yang
10
27002
adalah
menjawab
'apa'
sama-sama
yang
sedang
untuk
Namun,
ISO
27002
berfokus
COBIT
untuk berbagai
sektor
industri
yang berbeda.
memiliki
semua
eksekutif
bisnis
berhasil
dalam
agar
dapat
melaksanakan
organisasi.
Departemen
IT
Selain
itu,
COBIT
sering
digunakan
untuk
ISO
tidak
sistem informasi.
hanya
berfokus
pada
27002
memungkinkan
keamanan informasi.
Selain itu, COBIT 5 juga dapat
diimplementasikan
diimplementasikan
tanpa
sebagian
memerlukan
spectrum
suatu
analysis
karena
full-
memberikan
petunjuk
and
sulit
COBIT
relatif
keamanan
memberikan
memiliki
petunjuk
informasi
ruang
sehingga
lingkup
yang
11
terbatas.
ISO 27002 juga memiliki risiko
tidak bisa diintegrasikan dengan
sistem yang lebih besar.
Sertifikasi dan
Penyusun
Akreditasi
27001,
perorangan, yaitu:
Auditor (CISA)
kepada ISO.
COBIT
5,
ISACA,
yang
Certified
in
Risk
and
organisasi
menciptakan
suatu
organization-wide
framework,
bukan
ingin
hanya
lintas negara.
Selain itu, beberapa organisasi
yang telah bersertifikat ISO 27001
mewajibkan
memiliki
mitranya
sertifikat
ISO
untuk
27001.
organisasi
bersertifikat
ISO
yang
telah
27001
cocok
III.2.
risiko, meskipun ISO 31000 tidak secara spesifik mengatur mengenai manajemen risiko
12
di bidang IT. Namun, COBIT 5 dan ISO 31000 memiliki beberapa perbedaan. Perbedaan
antara COBIT 5 dan ISO 31000 dapat dilihat pada Tabel 2.
Tabel 2
Perbandingan antara COBIT 5 dan ISO 31000
Perbedaan
COBIT 5
ISO 31000
yang
terkait
dengan
Definisi
manajemen risiko
dilakukan
terkoordinasi
dalam
rangka
Awal
proses Dimulai
manajemen risiko
dengan
sasaran perusahaan
menetapkan
Dimulai
dengan
konteks
untuk
membangun
mengidentifikasi
Komponen proses
manajemen risiko
13
mendukung
efektivitas
Pengertian
inherent risk
Inherent
risiko
risk diartikan
tanpa
sebagai
memperhitungkan
Inherent
risk diartikan
sebagai
eksposur
perusahaan
terhadap
risiko
setelah
dilakukan
pengendalian internal.
Tersedia dan menjadi hal yang
Prinsip
manajemen risiko
mendukung
efektivitas
mengenai
risiko
dan
risiko
berfokus
dikonsultasikan
pada seluruh
dengan
stakeholders perusahaan,
internal
maupun
eksternal
respon risiko yang timbul dari risiko (sesuai prinsip transparan dan
bawaan pada saat solusi atas inklusif). Keterlibatan stakeholders
risiko diterapkan
bahan
pertimbangan
pengambilan keputusan.
14
IV. Simpulan
Adapun simpulan dari tulisan ini adalah sebagai berikut:
1. COBIT 5 dan ISO sama-sama merupakan framework di bidang IT yang diakui dan
banyak digunakan secara internasional.
2. COBIT 5 merupakan sebuah framework yang bersifat generic (umum, dengan
cakupan yang luas), sementara ISO merupakan framework yang lebih khusus,
spesifik, sempit, serta detil (rinci).
3. Selain memiliki persamaan, COBIT 5 juga memiliki beberapa perbedaan dengan ISO
(terutama ISO 27002 dan ISO 31000), sebagaimana terlihat pada Tabel 1 dan Tabel
2.
15
Daftar Referensi
Arora, Varun. Comparing Different Information Security Standards: COBIT vs. ISO 27001.
Carnegie
Mellon
University,
Qatar.
https://qatar.cmu.edu/media/assets/
CPUCIS2010-1.pdf (diakses 12 Oktober 2016).
ISACA. 2012. COBIT 5: A Business Framework for the Governance and Management of
Enterprise IT.
ISO. ISO/IEC 27001:2013 - Information Technology - Security Techniques - Information
Security Management Systems Requirements.
ISO. ISO/IEC 27002:2013 - Information Technology - Security Techniques - Code of
Practice for Information Security Controls.
ISO. ISO 31000:2009 - Principles and Guidelines on Implementation.
ISO. ISO 9001:2008 - Quality management systems Requirements.
von Solms, Basie. 2005. Information Security Governance: COBIT or ISO 17799 or both?.
Computers & Security (2005) 24, hal. 99-104.
16