Audit Teknologi
Informasi
Modul Standar untuk digunakan dalam
Perkuliahan di Universitas Widyatama
11
Abstract Kompetensi
Mahasiswa mengetahui manfaat Mahasiswa mampu menjelaskan
mempelajari Kebijakan, Standar dan kebijakan, standar dan pedoman
pedoman Keamanan Sistem Keamanan Sistem Informasi..
Informasi.
Modul 11
Kebijakan, Standar dan Pedoman Keamanan Sistem Informasi
Salah satu kunci elemen dari lingkungan pengendalian internal dalam organisasi adalah
kebijakan keamanan sistem informasi. Kebijakan keamanan sistem informasi menyediakan
kerangka tingkat tinggi dari mana semua keamanan sistem informasi lain terkait kontrol
berasal. Banyak dari kita berasumsi bahwa hampir semua organisasi memiliki kebijakan
keamanan sistem informasi atau sesuatu yang akan memenuhi syarat seperti itu.
Mengejutkan, hal ini tidak terjadi. Menurut survei Datapro Information Services Group 1996
lebih dari 1.300 organisasi dari Amerika Serikat, Kanada, tengah dan Amerika Selatan, Eropa,
dan Asia, hanya 54 persen memiliki kebijakan keamanan sistem informasi. Ini adalah turun
dari yang tinggi 82 persen pada tahun 1992 dan angka terendah sejak Datapro mulai survei
pada tahun 1991. [1] survei juga menunjukkan bahwa hanya 62 persen responden
organisasi telah ditetapkan orang tertentu untuk bertanggung jawab atas keamanan
komputer, dan sebagian besar responden melaporkan bahwa kurang dari 5 persen dari
organisasi mereka informasi teknologi (IT) Budget IT dialokasikan untuk keamanan.
Sebuah survei di seluruh dunia yang terpisah oleh Xephon Inggris mengkonfirmasi temuan
Datapro's. Xephon menemukan bahwa kurang dari 60 persen dari organisasi menanggapi
kebijakan keamanan sistem informasi. Dari mereka yang melakukan, Xephon menemukan
bahwa kebijakan pada dasarnya dibuat dalam kekosongan, dengan hanya satu dari lima
berdasarkan eksternal standards [2]
Baru-baru ini, sebuah survei industri Juli 2000 dilakukan oleh keamanan informasi
majalah menemukan bahwa 22 persen dari organisasi tidak memiliki kebijakan keamanan
dan 2 persen dari responden tidak tahu jika organisasi mereka telah policy.3 demikian pula,
seminggu Internet 2000 Survei itu dan keamanan manajer menemukan bahwa 25 persen
memiliki kebijakan keamanan TI tidak resmi [4]
Hasil survei ini mengkhawatirkan. Mereka menunjukkan bahwa banyak organisasi
puas dalam keamanan informasi di zaman ketika komputer dan sistem informasi yang
berkembang biak di rata-rata eksponensial dan risiko sangat penting. Jika organisasi tidak
memiliki kebijakan keamanan IS, kelemahan pengendalian internal yang signifikan telah
diidentifikasi. Kebijakan keamanan harus dikembangkan dan dilaksanakan secepatnya.
Selain itu, prosedur harus dilaksanakan untuk memastikan bahwa kebijakan dan
mendukung standar diperbarui untuk menyertakan baru undang-undang dan peraturan
serta perubahan dalam praktik teknologi dan bisnis. Kebijakan dan setiap update harus
disampaikan kepada semua karyawan secara teratur (setidaknya setiap tahun). Bagian-
bagian yang berlaku kebijakan dan standar seharusnya juga disampaikan ke semua staf
kontingen (vendor, konsultan, temps, dll).
Persyaratan Kebijakan, standar, dan pedoman sering digunakan secara bergantian di
banyak perusahaan. Hal ini juga terjadi ketika anggota suatu organisasi yang membahas IS
keamanan dokumen. Namun, perbedaan antara istilah-istilah ini penting untuk memahami
sebelum mengevaluasi kecukupan IS keamanan dalam sebuah organisasi. Bagian berikut
mendefinisikan dan membahas masing-masing istilah-istilah ini untuk memperjelas
perbedaan
OPSIONAL STANDAR JIKA DIBENARKAN OLEH RISIKO (DAN JIKA SISTEM MAMPU)
20. pengguna akses akan dibatasi untuk jam kerja normal dan hari (misalnya, pukul
untuk 18: 00, Senin sampai Jumat). Akses semalam dan akhir pekan akan
memerlukan advance persetujuan tertulis dari manajemen bertanggung jawab untuk
sistem.
21. pengguna akses akan dibatasi untuk workstation tertentu. (Catatan: setiap
workstation diidentifikasi oleh sejumlah unik node.)
Daftar di atas adalah standar keamanan cukup umum oleh desain. Tergantung pada
sifat dari organisasi, kemungkinan akan diperlukan untuk merekomendasikan
tambahan standar yang akan membantu memperkuat IS kontrol lingkungan. Seperti
dengan kebijakan, mungkin diperlukan untuk merekomendasikan serangkaian
standar untuk setiap anak perusahaan, divisi atau unit operasi yang berbeda.
Pedoman keamanan sistem informasi juga didirikan oleh manajemen senior dan
dimaksudkan untuk membantu memastikan tercapainya kebijakan keamanan IS. Panduan
tersebut serupa dalam format standar dalam bahwa mereka menyediakan rinci spesifikasi
untuk kontrol IS individu. Di mana keduanya berbeda dari standar adalah dalam
pelaksanaannya. Di beberapa perusahaan, manajemen dapat langsung staf untuk
menerapkan hanya pedoman yang mereka menilai terkait atau berguna. Pada orang lain,
Seharusnya tidak mengejutkan ketika seseorang tidak dapat menemukan cukup IS kebijakan
keamanan, standar, atau pedoman dalam sebuah organisasi. Berdasarkan pengalaman
pribadi dan diskusi dengan rekan-rekan banyak dalam berbagai perkumpulan profesional
audit, tampak bahwa banyak perusahaan tidak memiliki kebijakan keamanan IS, standar,
atau pedoman. Bahkan di perusahaan-perusahaan yang melakukan, kebijakan, standar, dan
pedoman sering tidak memadai atau tidak membahas banyak risiko yang terkait dengan
sistem informasi. Dalam banyak kasus, apa yang disebut kebijakan, standar, atau panduan
yang sebenarnya hanya konglomerasi prosedur di berbagai lokasi, masing-masing disiapkan
secara independen lain (Lihat studi kasus 4.1, 4.2 dan 4.3).
CISO perlu menekankan bahwa terlepas dari hambatan ini, itu ada di dalam kepentingan
terbaik kota dan warganya untuk mengesampingkan politik dan bekerja bersama sebagai tim
untuk mengembangkan kebijakan keamanan dan standar SI yang dapat diimplementasikan
oleh semua pekerja kota, terutama administrator keamanan sistem. Masa depan keamanan
dan reputasi kota beresiko jika standar keamanan IS adalah tidak dikembangkan dan