MODUL PERKULIAHAN

Audit Teknologi
Informasi
Modul Standar untuk digunakan dalam
Perkuliahan di Universitas Widyatama

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

Teknik Sistem Informasi 11740005 Iwan Rijayana, S.Kom, M.M, M.Kom

11
Abstract Kompetensi
Mahasiswa mengetahui manfaat Mahasiswa mampu menjelaskan
mempelajari Kebijakan, Standar dan kebijakan, standar dan pedoman
pedoman Keamanan Sistem Keamanan Sistem Informasi..
Informasi.
 Modul 11
Kebijakan, Standar dan Pedoman Keamanan Sistem Informasi

Salah satu kunci elemen dari lingkungan pengendalian internal dalam organisasi adalah
kebijakan keamanan sistem informasi. Kebijakan keamanan sistem informasi menyediakan
kerangka tingkat tinggi dari mana semua keamanan sistem informasi lain terkait kontrol
berasal. Banyak dari kita berasumsi bahwa hampir semua organisasi memiliki kebijakan
keamanan sistem informasi atau sesuatu yang akan memenuhi syarat seperti itu.
Mengejutkan, hal ini tidak terjadi. Menurut survei Datapro Information Services Group 1996
lebih dari 1.300 organisasi dari Amerika Serikat, Kanada, tengah dan Amerika Selatan, Eropa,
dan Asia, hanya 54 persen memiliki kebijakan keamanan sistem informasi. Ini adalah turun
dari yang tinggi 82 persen pada tahun 1992 dan angka terendah sejak Datapro mulai survei
pada tahun 1991. [1] survei juga menunjukkan bahwa hanya 62 persen responden
organisasi telah ditetapkan orang tertentu untuk bertanggung jawab atas keamanan
komputer, dan sebagian besar responden melaporkan bahwa kurang dari 5 persen dari
organisasi mereka informasi teknologi (IT) Budget IT dialokasikan untuk keamanan.
    Sebuah survei di seluruh dunia yang terpisah oleh Xephon Inggris mengkonfirmasi temuan
Datapro's. Xephon menemukan bahwa kurang dari 60 persen dari organisasi menanggapi
kebijakan keamanan sistem informasi. Dari mereka yang melakukan, Xephon menemukan
bahwa kebijakan pada dasarnya dibuat dalam kekosongan, dengan hanya satu dari lima
berdasarkan eksternal standards [2]
Baru-baru ini, sebuah survei industri Juli 2000 dilakukan oleh keamanan informasi
majalah menemukan bahwa 22 persen dari organisasi tidak memiliki kebijakan keamanan
dan 2 persen dari responden tidak tahu jika organisasi mereka telah policy.3 demikian pula,
seminggu Internet 2000 Survei itu dan keamanan manajer menemukan bahwa 25 persen
memiliki kebijakan keamanan TI tidak resmi [4]
Hasil survei ini mengkhawatirkan. Mereka menunjukkan bahwa banyak organisasi
puas dalam keamanan informasi di zaman ketika komputer dan sistem informasi yang
berkembang biak di rata-rata eksponensial dan risiko sangat penting. Jika organisasi tidak
memiliki kebijakan keamanan IS, kelemahan pengendalian internal yang signifikan telah
diidentifikasi. Kebijakan keamanan harus dikembangkan dan dilaksanakan secepatnya.
Selain itu, prosedur harus dilaksanakan untuk memastikan bahwa kebijakan dan
mendukung standar diperbarui untuk menyertakan baru undang-undang dan peraturan
serta perubahan dalam praktik teknologi dan bisnis. Kebijakan dan setiap update harus
disampaikan kepada semua karyawan secara teratur (setidaknya setiap tahun). Bagian-
bagian yang berlaku kebijakan dan standar seharusnya juga disampaikan ke semua staf
kontingen (vendor, konsultan, temps, dll).
Persyaratan Kebijakan, standar, dan pedoman sering digunakan secara bergantian di
banyak perusahaan. Hal ini juga terjadi ketika anggota suatu organisasi yang membahas IS
keamanan dokumen. Namun, perbedaan antara istilah-istilah ini penting untuk memahami
sebelum mengevaluasi kecukupan IS keamanan dalam sebuah organisasi. Bagian berikut
mendefinisikan dan membahas masing-masing istilah-istilah ini untuk memperjelas
perbedaan

‘20 Audit Teknologi Informasi

2 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
 KEBIJAKAN KEAMANAN SISTEM INFORMASI
Kebijakan keamanan sistem informasi adalah pernyataan keseluruhan tingkat tinggi
yang menggambarkan tujuan umum dari sebuah organisasi yang berkaitan dengan kontrol
dan keamanan atas sistem informasi. Kebijakan harus menentukan siapa bertanggung jawab
untuk pelaksanaannya. Kebijakan biasanya didirikan oleh manajemen dan disetujui oleh
Dewan Direksi. Karena kebanyakan papan bertemu hanya bulanan, perubahan kebijakan
sering dapat mengambil beberapa bulan untuk menjadi resmi. Jika perubahan signifikan,
Dewan dapat meminta informasi tambahan atau penelitian sebelum itu akan memberikan
suara pada perubahan. Jika perubahan relatif kecil, mungkin tidak ada cukup waktu dalam
agenda mereka untuk perubahan kecil kebijakan alamat. Untuk alasan ini, sangat penting
bahwa kebijakan keamanan IS tidak akan terlalu spesifik. Misalnya, kebijakan harus
mengharuskan organisasi memberikan kontrol keamanan fisik dan logis yang memadai atas
perangkat keras komputer, perangkat lunak dan data untuk melindungi mereka dari akses
tidak sah dan kerusakan yang tidak disengaja atau tidak disengaja, kerusakan, atau
perubahan. Namun, kebijakan harus tidak menentukan kontrol rinci, seperti jumlah minimal
karakter yang diperlukan untuk password atau jumlah maksimum terusan gagal
diperbolehkan sebelum menangguhkan ID pengguna. Jika ini kasusnya, manajemen senior
akan terus-menerus mengirimkan permintaan perubahan kebijakan ke papan tulis. Seperti
kita semua tahu, sering kontrol yang dianggap kuat telah diterjemahkan tidak memadai oleh
kemajuan teknologi. Pada satu waktu, lima-karakter password dianggap cukup untuk
aplikasi bisnis. Dengan hacking software yang tersedia dengan biaya yang sedikit atau tidak
ada di Internet, password dari delapan atau lebih karakter adalah sekarang diperlukan di
banyak organisasi. Oleh karena itu, ianya lebih praktis untuk menyertakan persyaratan
kontrol adalah rinci dalam standar keamanan adalah sebuah organisasi. Standar dibahas
dalam bagian berikutnya.
4.1 pameran ini memberikan contoh dari kebijakan keamanan IS. Kebijakan terbagi
menjadi 5 bagian:
1. tujuan dan tanggung jawab
2. sistem pengadaan dan pembangunan
3. Terminal akses
4. peralatan dan keamanan informasi
5. Layanan Biro program
Secara umum, kebijakan ini cukup memadai. Namun, ada sejumlah peluang dimana
kebijakan dapat diubah untuk meningkatkan efektivitas keseluruhan. Setiap bagian dari
kebijakan yang berisi area yang dapat ditingkatkan akan dikritik untuk menunjukkan
bagaimana auditor bisa menilai kecukupan kebijakan dan merumuskan rekomendasi untuk
meningkatkan efektivitas keseluruhan.
PAMERAN 4.1 INFORMASI SISTEM KEAMANAN KEBIJAKAN CONTOH
BAGIAN 1: TUJUAN DAN TANGGUNG JAWAB
Perusahaan mengoperasikan berbagai bentuk sistem komputasi dan telekomunikasi seluruh
operasi. Untuk tujuan kebijakan ini, istilah "sistem" menunjuk pada semua operasi
komputer (mainframe, Mini, mikro, komputer pribadi, dan telekomunikasi) dan daerah lain
fungsional di mana data yang dikirimkan melalui elektronik atau telekomunikasi media.
Tujuan dari kebijakan keamanan sistem informasi perusahaan adalah untuk
memberikan pedoman yang penting untuk transaksi elektronik yang efisien pengolahan dan
pelaporan layanan, sistem informasi manajemen, dan informasi pelanggan yang sesuai
kemampuan untuk manajemen dan Direksi untuk beroperasi secara efektif perusahaan.

‘20 Audit Teknologi Informasi

3 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
Selain itu, kebijakan ini dirancang untuk memastikan dukungan terus-menerus dan
perbaikan sistem komputasi dan telekomunikasi perusahaan.
Itu harus menjadi tanggung jawab dari Presiden atau / Ruangan Khusus individu (s)
dan Komite Manajemen Senior untuk mengelola perusahaan komputasi, dan sistem
telekomunikasi. Presiden harus membentuk struktur operasi yang mengoptimalkan
kemampuan sistem perusahaan sesuai dengan praktek-praktek bisnis. Berbagai sistem akan
dimonitor terus-menerus untuk menjamin berfungsinya dan kemampuan untuk memenuhi
kebutuhan saat ini dan masa depan perusahaan. Presiden dan Komite Manajemen Senior
akan bertanggung jawab untuk dan langsung studi kelayakan mengenai pengembangan,
implementasi, dan sistem konversi, serta melanjutkan operasi perusahaan komputer dan
telekomunikasi sistem.

BAGIAN 2: SISTEM PENGADAAN DAN PEMBANGUNAN

Perusahaan pengadaan, pengembangan dan pengoperasian sistem pengolahan data
(hardware dan software) akan dikelola oleh Presiden atau individu / Ruangan Khusus dan
Komite Manajemen Senior. Sistem komputasi perusahaan akan terus-menerus dipantau,
dan harus arus dan/atau kebutuhan masa depan untuk perubahan diidentifikasi,
perusahaan harus mengikuti siklus hidup sistem evaluasi langkah yang disebutkan pada
halaman berikutnya.
a. lingkup definisi — gambaran perlu diatasi
b. pendefinisian — gambaran dari persyaratan dari pengguna akhir dan tujuan
pembangunan baru
c. review dari solusi alternatif
d. sistem desain
e. pengembangan sistem
f. sistem pengujian
g. sistem pemantauan

BAGIAN 3: TERMINAL AKSES

Manajemen berwenang untuk menginstal terminal online dial-up akses lain yang mungkin
diwajibkan dalam operasi perusahaan.

BAGIAN 4: PERALATAN DAN INFORMASI KEAMANAN

Pembentukan dan pemeliharaan program keamanan lengkap yang meliputi sistem
komputasi adalah tanggung jawab Presiden atau individu (s) / ditunjuk. Sistem dan informasi
terkait akan dilindungi dan diberikan lingkungan operasi yang aman. Kontrol dan keamanan
yang akan ada termasuk, tetapi tidak terbatas pada, berikut:
a. peralatan dan ketahanan lingkungan
Keamanan yang tepat untuk sistem komputer dan telekomunikasi akan didirikan dan
dipertahankan sebagai diperlukan untuk melindungi peralatan dan terkait data. Tujuan
untuk melindungi sistem ini dari pelanggaran keamanan akan membatasi gangguan yang
tidak perlu dalam sistem pengolahan waktu dan untuk mencegah korupsi data perusahaan.
Ruang komputer mainframe perusahaan, serta sebagai tepat komputasi dan telekomunikasi
sistem fasilitas lainnya seperti yang ditetapkan oleh manajemen, harus didukung dengan
terganggu power supply, yang juga akan berfungsi sebagai sumber sementara kekuasaan di
acara kegagalan power. Lingkungan fisik untuk fasilitas sistem ini akan cukup terlindungi dari
kebakaran, asap dan air. Selain itu, perusahaan akan mempertahankan dan mendukung

‘20 Audit Teknologi Informasi

4 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
tepat pemanasan, ventilasi, dan AC yang diperlukan oleh berbagai sistem. Akses ke sistem
akan juga benar dipelihara dan dipantau oleh personil keamanan. Semua sistem hardware
dan biaya menciptakan kembali data yang hilang akan cukup diasuransikan.
b. informasi dan komunikasi keamanan
Perusahaan ini adalah untuk mempertahankan kontrol integritas dan keamanan untuk
perlindungan semua sistem komputer dan telekomunikasi, yang dimaksudkan untuk juga
mengatasi risiko yang timbul dari potensi penyalahgunaan sistem sumber daya komputasi.
Pembentukan kontrol ini akan mencakup, namun tidak terbatas pada, langkah-langkah
berikut:
i. kontrol akses Logis
ii. informasi sumber daya klasifikasi metode
iii. jaringan dan keamanan akses lokal
iv. retensi dan pembuangan informasi
v. insiden pelaporan untuk menganalisis kesalahan dan mengembangkan prosedur
untuk mencegah kejadian masa depan

Langkah-langkah yang digunakan untuk membangun dan/atau meningkatkan kontrol

seperti harus dibenarkan tepat mereka biaya dan keuntungan finansial relatif terhadap kritis
dan kepekaan sumber daya informasi yang dilindungi.

c. Kontinjensi dan pemulihan

Sistem cadangan dukungan kontrak akan berdiri untuk melindungi perusahaan apabila
terjadi kerusakan tak terduga atau bencana. Perusahaan ini mengembangkan dan
mempertahankan rencana yang alamat resiko bahwa peristiwa semacam itu dapat terjadi.
Ini akan memerlukan perencanaan untuk alternatif komputasi sistem pengolahan pilihan
(fasilitas, peralatan, dll) dan bahwa prosedur didirikan untuk berhasil mencapai setiap
alternatif ini. Ini adalah untuk memastikan bahwa perusahaan dapat memberikan untuk
kelangsungan bisnis. Persyaratan minimum kontingensi harus mencakup, namun tidak
terbatas pada, langkah-langkah berikut:
i. identifikasi aplikasi penting untuk menentukan prioritas mereka untuk pemulihan.
ii. didokumentasikan backup dan recovery plan(s) yang mencakup informasi semua
berhubungan atau berpotensi terkena aset (dan kemungkinan/potensi mereka) efek
pada setiap/semua bidang operasional).
iii. tes prosedur setidaknya sekali setiap tahun untuk mengevaluasi efektivitas
rencana aset informasi, personil dan semua bidang operasional berpotensi terkena
dampak.
iv. perusahaan akan mempertahankan cadangan data di lokasi off-site untuk
membatasi risiko dan memungkinkan untuk pemulihan data yang tepat harus di
tempat informasi dihancurkan, rusak, atau untuk alasan apa pun dibuat tidak dapat
digunakan.

BAGIAN 5: LAYANAN BIRO PROGRAM

Perusahaan Jasa Biro Perjanjian akan dirancang untuk mewajibkan bahwa Biro tersebut
dipertahankan oleh perusahaan menunjukkan komitmen untuk mengembangkan dan
memelihara perangkat lunak aplikasi komputer sedemikian rupa kemampuan sistem itu,
sebagaimana ditentukan oleh perusahaan, memastikan dan menjaga rekor yang sesuai cek
dan saldo di tempat. Perjanjian harus detail tingkat dukungan Biro Jasa akan menyediakan

‘20 Audit Teknologi Informasi

5 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
program-program yang ada, program-program baru yang dikembangkan, dan program
pembaruan. Akibatnya, langkah-langkah berikut dirancang untuk memfasilitasi interaksi
yang positif dengan semua Biro Jasa yang sedang digunakan:
a. pemrograman permintaan oleh perusahaan akan dipantau untuk ketepatan waktu
respon oleh Biro Jasa, dan dimana ketepatan waktu atau kualitas kinerja
dipertanyakan, Presiden atau / menunjuk akan mengevaluasi alternatif untuk kinerja
yang lebih baik .
b. perusahaan, melalui sendiri serta sistem verifikasi Biro Jasa, akan memastikan
bahwa perangkat lunak sistem baru beroperasi dengan benar sebelum konversi yang
dibuat untuk standar penggunaan operasional.
c. Jasa Biro sistem perangkat lunak yang disediakan akan didukung dengan
dokumentasi rinci memerintahkan perusahaan beroperasi dan kesalahan pencatatan
prosedur.

Bagian 1: Tujuan dan tanggung jawab

Kalimat kedua paragraf pertama menyediakan sebuah definisi dari istilah sistem. Namun,
definisi agak tanggal yang tidak menjelaskan jenis tertentu dari komputer dan metode
transmisi data sering di gunakan saat ini. Untuk memberikan definisi yang lebih universal
yang meliputi kemajuan teknologi terbaru, rekomendasi bisa diajukan kepada manajemen
untuk mengubah definisi sistem untuk membaca:
Untuk tujuan kebijakan ini, istilah sistem mengacu kepada semua operasi komputer
dalam perusahaan, termasuk, namun tidak terbatas pada, mainframe, midranges,
implan mini, jaringan area lokal dan lebar, personal komputer desktop dan laptop,
telekomunikasi, apapun teknologi baru saat ini dalam pembangunan, dan komputer
khusus lain yang berada di bidang fungsional yang mana data yang ditransmisikan
atau diproses melalui elektronik, telekomunikasi, satelit, microwave, atau media lain.
Ayat ketiga tepat menentukan bahwa Presiden atau nya ditunjuk individu (s) dan
Komite Manajemen Senior yang bertanggung jawab untuk mengelola sistem perusahaan
komputer dan telekomunikasi. Pembaca harus mencatat bahwa di beberapa organisasi
besar dengan lingkungan sistem komputasi yang kompleks, IS Komite Pengarah yang terdiri
dari berbagai anggota manajemen senior dan manajer kunci lain diberikan tanggung jawab
untuk mengelola dan mengarahkan semua sistem sumber daya komputasi. Pada
kenyataannya, auditor eksternal organisasi ini direkomendasikan bahwa Komite Pengarah IS
dibuat. Ketika sebuah organisasi memutuskan untuk membuat suatu Komite Pengarah,
kebijakan harus disesuaikan sesuai.

Bagian 2: Sistem pengadaan dan pembangunan

Bagian 2 menunjukkan langkah-langkah yang diperlukan ketika sistem informasi baru
sedang dipertimbangkan dalam organisasi. Langkah-langkah ini mewakili pendekatan siklus
hidup pengembangan sistem cukup standar. Namun, satu langkah utama hilang antara
sistem pengujian dan sistem pemantauan. Harus ada langkah yang disebut implementasi
sistem. Implementasi sistem adalah puncak dari semua sebelumnya tahap perencanaan dan
pembangunan. Ini adalah dimana sistem baru ditempatkan ke dalam produksi dan mana tim
pengembangan proyek tahu seberapa baik sistem melakukan di bawah beban terus-
menerus hidup data. Efek dari implementasi sistem baru pada organisasi dapat bervariasi
secara signifikan, tergantung pada jumlah komponen perangkat keras, program, dan jumlah

‘20 Audit Teknologi Informasi

6 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
data yang diproses dengan sistem baru. Implementasi sering dilakukan selama akhir pekan
untuk memberikan lebih banyak waktu bantal harus timbul masalah tak terduga. Beberapa
implementasi dapat berlangsung selama minggu atau bulan, seperti bagian yang berbeda
dari sistem dibawa secara online. Organisasi sering memilih untuk menjaga sistem yang
lama beroperasi dengan sistem baru dilaksanakan untuk memberikan jaminan tambahan
bahwa sistem baru sepenuhnya mampu untuk pengolahan data tanpa masalah signifikan.
Karena pentingnya fase implementasi dalam siklus hidup sistem informasi baru,
rekomendasi untuk menambah sistem implementasi langkah kebijakan keamanan IS akan
dijamin.

Bagian 3: Terminal akses

Bagian 3 tidak mengandung informasi yang cukup untuk menjamin bagian terpisah. Oleh
karena itu, Bagian harus dihapus atau konsolidasi ke dalam Bagian 4.

Bagian 4: Peralatan dan keamanan informasi

Bagian 4 membagi keamanan menjadi tiga subbagian:
a. peralatan dan ketahanan lingkungan
b. informasi dan komunikasi keamanan
c. kontingensi dan pemulihan
subbagian B memerlukan pembentukan setidaknya lima kontrol tertentu (item saya
melalui v). Antara kontrol ini, item i (Logis akses kontrol) dan item iii (jaringan dan
keamanan akses lokal) sangat penting untuk dimasukkan dalam kebijakan keamanan IS.
Namun, ada kekurangan yang kedua pernyataan ini pada dasarnya mengacu pada jenis
kontrol yang sama. Pembaca kebijakan dalam pameran 4.1 bisa menjadi bingung ketika
mereka melihat keamanan logis dan jaringan dan keamanan akses lokal yang terdaftar
sebagai kontrol terpisah.
Seperti telah dibahas dalam Bab 1, kontrol keamanan logis adalah mereka yang
membatasi kemampuan akses pengguna dari sistem dan mencegah pengguna yang tidak
sah untuk mengakses sistem. Kontrol keamanan logis mungkin ada dalam sistem operasi,
sistem manajemen database, program aplikasi, atau semua tiga. Karena sistem operasi dan
program aplikasi yang ada di komputer manapun yang melakukan fungsi spesifik,
keberadaan Logis keamanan ini tidak bergantung pada ukuran atau jenis komputer. Logis
keamanan harus ada dalam midranges, mainframe, Mini, lebar dan daerah-daerah jaringan,
Jaringan, komputer yang berdiri sendiri, dan jenis lain dari peralatan yang memungkinkan
akses elektronik ke data dalam sebuah organisasi.
Jaringan dimasukkan dalam definisi sistem dalam bagian 1 dari kebijakan, bersama
dengan semua jenis sistem komputasi. Karena keamanan jaringan dapat dianggap subset
dari lingkungan keamanan secara keseluruhan Logis organisasi, harus tidak secara khusus
disebutkan sebagai satu set kontrol di bawah bagian 4, ayat b terpisah.
Dalam referensi untuk keamanan akses lokal di item iii, itu adalah tidak jelas apa
istilah lokal merujuk. Akses ke sistem apapun dapat berlangsung dari berbagai lokasi,
termasuk mana unit pemroses Sentral (CPU) berada, di workstation pengguna akhir, atau
dari lokasi terpencil melalui koneksi dial-in komunikasi. Tergantung pada salah satu sudut
pandang, salah satu lokasi dapat dianggap lokal. Oleh karena itu, itu akan lebih baik untuk
menggabungkan kontrol dua pernyataan dalam item i dan iii menjadi sebuah frase yang
satu, menyeluruh, seperti "Logis akses kontrol atas sistem operasi, sistem manajemen
database, dan aplikasi dari semua perusahaan komputasi dan sistem telekomunikasi."

‘20 Audit Teknologi Informasi

7 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
Bagian 5: Layanan Biro program
Bagian 5 alamat sebagian isu terkait kebijakan yang berkaitan dengan layanan Biro. Namun,
satu risiko penting yang tidak ditujukan berkenaan dengan disposisi kode sumber aplikasi
asli dalam acara Biro Jasa berhenti operasi atau sebaliknya gagal untuk memenuhi sebuah
aspek penting dari kontrak dengan organisasi klien. Banyak perusahaan memerlukan kode
sumber versi aplikasi yang dipakai akan diadakan dalam escrow oleh pihak ketiga yang
independen. Pihak ketiga akan diizinkan untuk melepaskan kode sumber untuk organisasi
klien jika aspek-aspek tertentu dari kontrak tidak terpenuhi. Jika berlaku, persyaratan
escrow kode sumber harus juga berlaku untuk kontrak spesifik dengan vendor perangkat
lunak yang menyediakan dan mempertahankan program untuk organisasi tetapi yang tidak
Biro Jasa. Dengan menentukan persyaratan ini dalam kontrak, organisasi klien dapat
mengurangi resiko gangguan bisnis jika penjual jasa biro atau perangkat lunak berhenti
operasi. Organisasi akan dapat terus mempertahankan dan memodifikasi kode sumber
aplikasi vendor sampai pengganti yang cocok bisa dikembangkan atau dibeli dari vendor
lain.
Ide yang baik akan menambah langkah keempat dalam kebijakan 5 bagian yang
berbunyi: "kontrak dengan organisasi Biro Jasa dan vendor perangkat lunak eksternal akan
menentukan bahwa kode sumber asli yang akan diadakan dalam escrow oleh pihak ketiga
yang independen dan bahwa kode sumber akan dirilis ke perusahaan dalam hal layanan Biro
atau perangkat lunak vendor akibat operasi, berhenti untuk mendukung perangkat lunak,
atau jika tidak melanggar syarat-syarat kontrak apapun signifikan." (Catatan: keterangan
item harus ditentukan dalam kontrak dengan Biro layanan lebih lanjut dan di luar perangkat
lunak vendor harus dimasukkan dalam standar keamanan IS. Standar tersebut dibahas
dalam bagian berikutnya.) Karena banyak risiko yang terkait dengan layanan Biro juga
berlaku untuk program perangkat lunak yang dibeli dari vendor di luar, rekomendasi
tambahan akan mengubah nama Bagian 5 untuk layanan Biro program dan di luar program
Vendor perangkat lunak atau untuk menambahkan bagian terpisah kebijakan untuk
mengatasi resiko apapun unik yang organisasi mungkin terkena sebagai hasil dari program
vendor perangkat lunak luar.
Daftar berikut meringkas konsep-konsep umum yang dimasukkan dalam kebijakan
keamanan adalah di pameran 4.1 serta koreksi kekurangan yang terkenal. Masing-masing
item dalam daftar harus disertakan dalam kebijakan keamanan IS dari semua organisasi. Jika
organisasi tidak menggunakan layanan Biro atau program perangkat lunak kustom Penjual,
mereka dapat dikecualikan dari kebijakan. Namun, termasuk mereka membuat kebijakan
yang lebih fleksibel dengan mengurangi kebutuhan untuk memperbarui atau merevisi ketika
organisasi memutuskan untuk menggunakan jasa layanan Biro atau vendor perangkat lunak
kustom.
Item untuk memasukkan dalam kebijakan keamanan sistem informasi:
• Pernyataan tujuan dan tanggung jawab
• Sistem pengadaan dan pendekatan pembangunan
• Peralatan dan ketahanan lingkungan (yaitu, keamanan fisik)
• Informasi dan komunikasi Security (yaitu, logis keamanan)
• Kontingensi dan pemulihan (ini merupakan bagian dari keamanan fisik, tetapi
dapat diterima untuk memiliki bagian terpisah karena pentingnya.)
• Program Biro Jasa (jika berlaku)
• Custom Vendor program perangkat lunak (jika berlaku)

‘20 Audit Teknologi Informasi

8 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
 Kebijakan keamanan adalah sebuah organisasi harus diperiksa untuk memastikan
bahwa hal itu berisi setidaknya konsep-konsep yang disajikan dalam daftar ini. Tergantung
pada sifat organisasi dan kompleksitas dan ukuran lingkungan sistem komputasi, itu
mungkin diperlukan untuk merekomendasikan menambahkan atau menghapus item
tertentu dari kebijakan keamanan IS. Dalam beberapa kasus, bahkan mungkin sesuai dengan
memiliki kebijakan yang terpisah untuk setiap anak perusahaan, divisi, atau unit operasi lain.

STANDAR KEAMANAN SISTEM INFORMASI

Standar keamanan sistem informasi adalah kriteria minimum, aturan dan prosedur yang
ditetapkan oleh manajemen senior yang harus dilaksanakan untuk membantu memastikan
tercapainya kebijakan keamanan IS. Mereka diimplementasikan oleh staf (misalnya, sistem
keamanan administrator dan pengguna) di bawah arahan manajemen. Standar keamanan
sistem informasi harus menentukan persyaratan rinci setiap IS kontrol. Beberapa contoh
rinci kontrol yang harus ditentukan dalam standar akan panjang sandi minimal delapan
karakter, kadaluarsa sandi 30-hari periode, dan persyaratan bahwa password harus terdiri
dari setidaknya dua Alfa dan dua karakter numerik. Standar tidak boleh khusus untuk setiap
platform komputer tertentu (yakni, membuat, model, atau sistem operasi). Sebaliknya,
mereka sebaiknya cukup umum untuk diterapkan ke semua yang ada dan calon sistem
informasi yang memiliki beberapa bentuk keamanan logis dan/atau fisik. Setiap kali
manajemen dianggap bahwa standar yang perlu diubah, perubahan dapat dikomunikasikan
ke staf dan dilaksanakan tanpa memerlukan persetujuan dari Dewan Direksi. Hal ini
memungkinkan organisasi untuk bereaksi lebih cepat untuk kemajuan teknologi yang
mungkin telah melemahkan standar yang sudah ada.
Berkaitan dengan audit, standar keamanan adalah menyediakan manajemen yang
disetujui patokan atau dasar terhadap kecukupan kontrol yang diterapkan pada sistem
informasi pribadi dapat dinilai. 4.2 pameran ini memberikan contoh dari IS standar
keamanan yang dapat diterapkan ke banyak sistem informasi. Manajemen harus
memastikan bahwa standar yang diterapkan untuk sistem yang ada, bahwa mereka adalah
bagian dari spesifikasi desain untuk sistem saat ini sedang dikembangkan secara internal,
dan bahwa kontrak dengan vendor perangkat lunak luar Biro Jasa menentukan yang
program mereka harus mematuhi standar. Kadang-kadang situasi dapat timbul yang
menjamin penyimpangan dari standar. Penyimpangan ini harus didokumentasikan dan
disetujui oleh manajemen yang bertanggung jawab untuk sistem dan proses yang terkait.

PAMERAN 4.2        CONTOH STANDAR KEAMANAN SISTEM INFORMASI

Berikut standar keamanan adalah minimum telah disetujui oleh manajemen senior dan akan
diterapkan pada sistem informasi yang berlaku dalam organisasi:
1. setelah selesai instalasi awal dari perangkat lunak, password perdananya akan
diubah oleh administrator sistem keamanan.
2. seorang administrator cadangan sistem keamanan akan Ruangan Khusus dan
dilatih untuk memastikan melanjutkan operasi sistem, bahkan dalam ketiadaan
administrator keamanan sistem utama.
3. sistem keamanan administrator akan mengatur parameter untuk meminta
password harus minimal 8 karakter alfa-numerik, case-sensitive panjang.
4. sistem harus dirancang sehingga password yang bertopeng (yaitu, tak terlihat)
pada workstation layar sebagai mereka yang dimasukkan oleh pengguna.

‘20 Audit Teknologi Informasi

9 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
 5. sistem harus dirancang sehingga file sandi akan dienkripsi dengan algoritma yang
aman sehingga tidak ada orang, termasuk administrator keamanan sistem, dapat
melihat mereka.
6. sistem keamanan administrator akan menetapkan password untuk secara
otomatis kadaluarsa dalam 60 hari atau kurang.
7. user id akan ditangguhkan setelah tiga berturut-turut signon gagal upaya.
Pengguna akan diminta untuk menghubungi administrator sistem keamanan untuk
memiliki ID reset user mereka. Hanya sistem keamanan administrator akan memiliki
kemampuan untuk me-reset user id.
8. user sesi harus diakhiri setelah lima menit tidak aktif.
9. pengguna tidak akan diizinkan bersamaan terusan sesi.
10. sistem keamanan administrator akan menghapus pengguna ID pengguna
ditransfer atau dihentikan segera setelah pemberitahuan dari manajer Departemen
pengguna dan/atau Departemen sumber daya manusia. Prosedur akan memerlukan
Departemen manajer untuk memberitahu semua berlaku sistem keamanan
administrator ketika pengguna mengakhiri atau transfer.
11. Departemen manajer bertanggung jawab untuk pelatihan pengguna untuk tidak
berbagi atau mengungkapkan password mereka kepada siapa pun, menuliskannya,
posting mereka di workstation mereka, menyimpannya dalam sebuah file elektronik,
atau melakukan tindakan lain yang dapat berpotensi menyebabkan mereka sandi
yang terungkap.
12. sistem keamanan administrator akan meminta Departemen Manajemen
pengguna untuk meninjau kemampuan akses pengguna dan menyatakan secara
tertulis bahwa akses kemampuan pengguna di departemen mereka diperlukan untuk
melaksanakan tugas-tugas biasa. Sertifikasi ini harus dilakukan minimal setahun
sekali, atau lebih sering jika dianggap perlu oleh manajemen senior.
13. Logis keamanan terkait peristiwa akan dicatat oleh sistem, dan log akan terus-
menerus dipantau oleh sistem keamanan administrator untuk potensi tindakan dari
akses yang tidak sah. Contoh Logis peristiwa terkait keamanan termasuk terusan
gagal, penambahan/penghapusan pengguna dan perubahan kemampuan akses,
reset password, dan restart sistem. Ada mungkin banyak peristiwa lain yang bisa
login.
(Catatan: ada trade-off antara pengendalian dan efisiensi pada standar ini. Semakin
banyak peristiwa yang dicatat, lebih banyak memori yang diperlukan untuk
menyimpan peristiwa-peristiwa dalam log file. Pada beberapa sistem, ini "overhead"
dapat menyebabkan penurunan yang signifikan dalam kinerja sistem atau bahkan
kegagalan sistem jika log file tidak dibersihkan. Juga, sistem keamanan administrator
harus menghabiskan lebih banyak waktu untuk memeriksa log file. Oleh karena itu,
administrator sistem keamanan harus bekerja dengan manajemen untuk
menentukan peristiwa paling penting sistem tertentu mereka dapat login dan yang
dapat ditinjau dalam jumlah yang wajar waktu.)
14. bisnis kembali prosedur harus sepenuhnya dikembangkan, diuji, dan
didokumentasikan oleh manajemen bekerjasama dengan sistem keamanan
administrator dan staf lainnya kunci. Rencana pembukaan kembali bisnis harus
menyediakan untuk backup sistem lengkap secara mingguan, data lengkap backup
pada setiap hari, dan rotasi media backup ke fasilitas off-site aman pada tiga atau
lebih generasi rotasi siklus.

‘20 Audit Teknologi Informasi

10 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
 15. memadai asuransi akan dipertahankan selama perangkat keras, sistem operasi,
perangkat lunak aplikasi dan data. Perangkat keras harus dibahas dalam biaya
penggantian. Sistem operasi, perangkat lunak aplikasi dan data akan tertutup untuk
biaya penciptaan semula. Kehilangan pendapatan langsung akibat kegagalan
perangkat keras dan/atau kerugian dari sistem operasi, perangkat lunak aplikasi, dan
data selama acara-acara tertutup akan sepenuhnya ditutupi.
16. untuk kustom aplikasi yang dikembangkan oleh vendor perangkat lunak
eksternal, kontrak harus menentukan bahwa kode sumber asli harus
diselenggarakan dalam escrow oleh pihak ketiga yang independen dan bahwa kode
sumber akan dirilis untuk pembeli dalam acara vendor berhenti mendukung
perangkat lunak atau sebaliknya melanggar persyaratan "signifikan" kontrak.
Barang-barang lainnya untuk dimasukkan dalam kontrak vendor akan termasuk masa
kontrak, biaya pemeliharaan tahunan, jenis pemeliharaan yang disediakan, tingkat
standar (yaitu, persyaratan waktu respon) Layanan, dan seterusnya.
17. berkembang Penjual aplikasi diperoleh di masa depan harus kontrak diminta
untuk memasukkan pemrograman yang memungkinkan standar untuk digunakan
setelah instalasi.
18. informasi rahasia, termasuk sandi, akan dienkripsi dengan algoritma yang aman
selama transmisi elektronik.
19. sistem keamanan administrator akan menginstal perangkat lunak yang secara
otomatis memeriksa virus menggunakan file pola virus saat ini. Virus perangkat lunak
parameter harus ditetapkan untuk memeriksa semua sektor memori komputer,
termasuk sektor boot, semua perangkat penyimpanan permanen dan semua file
yang masuk. Perangkat lunak juga dapat diatur untuk memberitahukan kepada
administrator sistem keamanan virus diidentifikasi.

OPSIONAL STANDAR JIKA DIBENARKAN OLEH RISIKO (DAN JIKA SISTEM MAMPU)
20. pengguna akses akan dibatasi untuk jam kerja normal dan hari (misalnya, pukul
untuk 18: 00, Senin sampai Jumat). Akses semalam dan akhir pekan akan
memerlukan advance persetujuan tertulis dari manajemen bertanggung jawab untuk
sistem.
21. pengguna akses akan dibatasi untuk workstation tertentu. (Catatan: setiap
workstation diidentifikasi oleh sejumlah unik node.)
Daftar di atas adalah standar keamanan cukup umum oleh desain. Tergantung pada
sifat dari organisasi, kemungkinan akan diperlukan untuk merekomendasikan
tambahan standar yang akan membantu memperkuat IS kontrol lingkungan. Seperti
dengan kebijakan, mungkin diperlukan untuk merekomendasikan serangkaian
standar untuk setiap anak perusahaan, divisi atau unit operasi yang berbeda.

PEDOMAN KEAMANAN SISTEM INFORMASI

Pedoman keamanan sistem informasi juga didirikan oleh manajemen senior dan
dimaksudkan untuk membantu memastikan tercapainya kebijakan keamanan IS. Panduan
tersebut serupa dalam format standar dalam bahwa mereka menyediakan rinci spesifikasi
untuk kontrol IS individu. Di mana keduanya berbeda dari standar adalah dalam
pelaksanaannya. Di beberapa perusahaan, manajemen dapat langsung staf untuk
menerapkan hanya pedoman yang mereka menilai terkait atau berguna. Pada orang lain,

‘20 Audit Teknologi Informasi

11 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
mereka dapat dipahami untuk menjadi setara dengan standar. Karena petunjuk tidak selalu
diwajibkan oleh manajemen untuk diimplementasikan, mereka dapat membuktikan menjadi
sedikit dari sebuah anomali ke auditor. Sebagai contoh, dalam sebuah perusahaan yang
memiliki pedoman keamanan IS tetapi ada standar, auditor dapat menggunakan pedoman
sebagai patokan terhadap kecukupan kontrol sistem informasi tertentu dapat dinilai. Ketika
merekomendasikan perbaikan dalam kontrol tersebut untuk Manajemen bertanggungjawab
atas sistem itu, menggunakan panduan sebagai patokan, auditor dapat menghadapi
penolakan terhadap perubahan karena manajemen tidak mempertimbangkan pedoman
untuk menjadi persyaratan. Ini adalah untuk alasan ini bahwa penggunaan istilah pedoman
tidak pantas ketika mengacu pada kontrol keamanan IS. Semua perusahaan harus
mengembangkan standar keamanan IS yang jelas didefinisikan dan dilaksanakan.

Seharusnya tidak mengejutkan ketika seseorang tidak dapat menemukan cukup IS kebijakan
keamanan, standar, atau pedoman dalam sebuah organisasi. Berdasarkan pengalaman
pribadi dan diskusi dengan rekan-rekan banyak dalam berbagai perkumpulan profesional
audit, tampak bahwa banyak perusahaan tidak memiliki kebijakan keamanan IS, standar,
atau pedoman. Bahkan di perusahaan-perusahaan yang melakukan, kebijakan, standar, dan
pedoman sering tidak memadai atau tidak membahas banyak risiko yang terkait dengan
sistem informasi. Dalam banyak kasus, apa yang disebut kebijakan, standar, atau panduan
yang sebenarnya hanya konglomerasi prosedur di berbagai lokasi, masing-masing disiapkan
secara independen lain (Lihat studi kasus 4.1, 4.2 dan 4.3).

CASE STUDY 4.1

Standar keamanan sistem informasi memadai
Di satu organisasi menjadi diaudit, ada IS standar keamanan dalam buku pedoman
karyawan, standar lainnya dengan microcomputer pengguna manual dan masih standar
lainnya yang berlaku untuk setiap platform komputer besar dalam organisasi. Ada juga
lembaran satu halaman pada panduan sandi yang diserahkan kepada karyawan baru oleh
Departemen sumber daya manusia berdasarkan mempekerjakan. Setiap dari dokumen-
dokumen ini disiapkan secara mandiri oleh Departemen terpisah. Tempat Apakah ada
seperangkat standar. Setelah merekrut, karyawan tidak menerima pelatihan tambahan adalah
keamanan. Sebagian besar karyawan yang tidak bahkan menyadari adanya standar untuk
platform komputer besar atau lokasi standar lainnya. Sebagai akibatnya, adalah kesadaran
keamanan tidak konsisten di seluruh organisasi. Pada beberapa Departemen Manajemen
adalah sangat sadar akan adanya keamanan, sementara di daerah lain adalah keamanan
dipandang sebagai lebih dari ketidaknyamanan operasional.
Dianjurkan bahwa Direksi masing-masing bidang utama adalah pengolahan bersama-
sama mengembangkan seperangkat standar keamanan IS yang akan memberikan konsistensi
dalam aplikasi kontrol atas semua sistem informasi dalam organisasi. Hal ini juga dianjurkan
bahwa, setelah selesai, standar dikomunikasikan ke semua anggota staf. Satu saran untuk
berkomunikasi standar-standar baru adalah untuk mengembangkan referensi brosur atau
pamflet yang berisi rincian standar dan kemudian mendistribusikan dokumen untuk semua
anggota staf yang sudah ada. Lebih lanjut dianjurkan bahwa standar-standar baru akan
disertakan sebagai bagian dari pelatihan yang semua karyawan baru diwajibkan untuk
menghadiri.
CASE STUDY 4.2
Pengembangan Program perlindungan informasi

‘20 Audit Teknologi Informasi

12 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
 Selama bertahun-tahun, organisasi perbankan memiliki keamanan sistem informasi
yang tidak memadai standar yang didasarkan pada jenis sistem komputasi yang ada dalam
organisasi. Salah satu bagian dari standar yang dibahas berbagai jenderal mengontrol
lingkungan mainframe, bagian lain ditujukan ke jaringan, bagian lain membahas komputer
pribadi yang berdiri sendiri, bagian lain yang dibahas sistem telekomunikasi, dan sebagainya.
Setiap bagian dari standar itu pada dasarnya salinan standar umum yang sama, dengan sedikit
modifikasi kata-kata untuk menyesuaikannya dengan jenis sistem komputasi. Ini
menghasilkan sebuah seperangkat standar yang tidak perlu panjang dengan informasi
berlebihan. Selanjutnya, kontrol umum tidak menentukan kontrol keamanan logis (kata sandi,
enkripsi, administrasi keamanan sistem, dll.), yang bisa dibilang paling banyak standar
penting. Standar umum hanya mencakup hal-hal seperti fisik keamanan dan pengadaan
sistem. Seperti yang diharapkan, kurangnya logika standar keamanan mengakibatkan
penerapan keamanan logis yang tidak konsisten mengontrol seluruh organisasi, sehingga
organisasi menjadi sasaran resiko berlebihan. Standar lainnya tidak di-wordly dengan baik.
Auditor internal IS membuat rekomendasi yang konsisten mengenai logis keamanan
dan kontrol lainnya selama setiap audit individu. Karena tidak ada internal standar dapat
direferensikan, auditor SI membela rekomendasi mereka sebagai praktik bisnis yang sehat
umum dalam industri. Lebih dari satu beberapa tahun, manajer audit IS merekomendasikan
beberapa kali ke kepala sistem informasi yang satu set standar umum seluruh perusahaan
dikembangkan. Setiap usaha tidak berhasil. Setiap tahun manajer audit IS membahas masalah
dengan auditor IS eksternal yang mendukung tahunan audit laporan keuangan. Akhirnya,
manajer audit internal IS meyakinkan auditor IS eksternal untuk merekomendasikan kepada
manajemen senior organisasi bahwa seperangkat standar keamanan IS yang komprehensif
dikembangkan. Sekitar 10 berbulan-bulan kemudian, pada tahun 1997, manajemen senior
menugaskan tim perwakilan dari berbagai bidang organisasi, termasuk audit IS, untuk
membuat perusahaan-standar luas yang ditujukan tidak hanya keamanan IS tetapi juga
perlindungan informasi secara umum, terlepas dari apakah informasi itu ada atau tidak dalam
bentuk elektronik, kertas, mikrofilm, atau bentuk lainnya. Manajemen senior khawatir bahwa
dengan meningkatnya prevalensi telecommuting dan eksistensi sejumlah besar informasi
dalam bentuk non-elektronik, standar keamanan IS tidak akan cukup komprehensif. Tim juga
menyewa konsultan dari perusahaan audit eksternal untuk memfasilitasi pengembangan
standar.
Pada akhir 1998, produk akhir selesai. Tim telah mengembangkan sebuah program
perlindungan informasi komprehensif (IP) dan serangkaian prosedur yang akan

‘20 Audit Teknologi Informasi

13 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
mengharuskan semua karyawan, terlepas dari apakah mereka bekerja di IS atau unit bisnis,
untuk melakukan praktik-praktik IP yang berlaku untuk lingkungan kerja mereka. Tim telah
mengidentifikasi sekitar 125 standar IP umum. Ini semua dibagi menjadi tiga kategori:
departemen, administrasi sistem, dan system kemampuan.
Standar departemen adalah standar yang dimiliki karyawan di semua departemen
melakukan. Mereka termasuk sekitar 25 standar yang masuk akal seperti mengunci
workstation ketika meninggalkan daerah sekitar, menyimpan informasi rahasia tidak terlihat
dan menguncinya ketika diperlukan, tidak menulis kata sandi atau menggunakan kata sandi
yang mudah ditebak, dan mencatat jaringan pada akhir a bergeser. Setiap departemen juga
diminta untuk mengklasifikasikan informasi yang diterimanya menjadi tiga kategori umum:
publik, terbatas, dan rahasia. Informasi Publik dapat dibagikan dengan siapa pun. Contohnya
termasuk hal-hal seperti pemasaran dan materi promosi. Informasi yang dibatasi dapat
dibagikan di antara semua karyawan tetapi tidak dengan publik. Contohnya termasuk
karyawan buku telepon, informasi intranet, dan e-mail semua staf. Informasi rahasia hanya
dapat dibagikan dengan orang-orang yang memiliki bisnis yang sah alasan membutuhkan
informasi. Sebagian besar informasi jatuh ke dalam kategori rahasia. Manajemen diminta
untuk mengkomunikasikan klasifikasi informasi kepada karyawan mereka dan untuk
berolahraga yang sesuai mengontrol setiap jenis informasi.
Standar administrasi sistem adalah standar yang dimiliki semua administrator system
bisa tampil. Mereka termasuk sekitar 50 standar, seperti: meninjau keamanan log kejadian;
memastikan bahwa informasi yang dibatasi atau rahasia dienkripsi saat sedang ditransmisikan
secara elektronik; melindungi perangkat keras sistem dari api, lonjakan listrik, dan pencurian;
menunjuk dan melatih administrator sistem cadangan; dan menginstal perangkat lunak
pemeriksaan virus otomatis. Tergantung pada risiko dan signifikansi sistem, beberapa standar
tidak akan berlaku.
Standar kemampuan sistem adalah standar yang diinginkan dalam sistem. Mereka
termasuk sekitar 50 standar, seperti kemampuan untuk: membatasi akses ke informasi dan
memisahkan tugas-tugas; menegakkan password minimum delapan karakter panjang dan
kadaluwarsa kata sandi 60 hari;menyimpan kata sandi dalam format terenkripsi; mengubah
kata sandi perdananya pada system baru; dan membuat jejak audit.
Prosedur kritis dibangun ke dalam program IP untuk memastikan bahwa IP standar
tidak hanya mengumpulkan debu: Sertifikasi tahunan harus diselesaikan oleh 31 Maret.
Manajer masing-masing departemen wajib meninjau sertifikasi daftar standar departemen
dengan staf. Daftar periksa membutuhkan manajer untuk menentukan "ya," "tidak," atau

‘20 Audit Teknologi Informasi

14 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
"tidak berlaku" untuk setiap standar. Sana adalah ruang untuk komentar singkat di samping
setiap tanggapan. Manajer harus menandatangani sertifikasi yang menunjukkan bahwa
standar dikomunikasikan dan didiskusikan dengan staf dan meminta manajer divisi
menyetujui sertifikasi. Demikian pula, administrator dari setiap sistem unik dalam organisasi
diperlukan untuk melengkapi administrasi sistem dan daftar periksa penilaian kemampuan
sistem. Semua daftar periksa sertifikasi yang lengkap dikirim ke petugas keamanan yang
memastikan bahwa semua departemen dan administrator sistem telah menyelesaikannya.
Sekitar satu bulan sebelum sertifikasi, tim di seluruh organisasi, termasuk manajer audit IS,
bersidang untuk meninjau dan memperbarui standar IP dan prosedur terkait.
Untuk beberapa sistem, khususnya aplikasi yang kurang canggih, tidak semuanya
administrasi sistem dan standar kemampuan sistem dapat dipenuhi. Sangat lama karena risiko
ketidakpatuhan dapat diterima oleh manajemen, tidak ada tindakan yang diperlukan.
Sertifikasi tahunan bertindak sebagai pengingat kepada manajemen untuk menilai kembali
risiko sistem.
Sebagai langkah audit standar awal dalam setiap audit, tahunan terbaru sertifikasi
diperiksa untuk memastikan mereka telah selesai dan disetujui, dan tanggapan terhadap setiap
standar daftar periksa ditinjau untuk masuk akal dan akurasi. Tanggapan daftar periksa sering
memberikan auditor IS dengan gagasan tentang tingkat pengetahuan administrator sistem dan
kecanggihannya dari sistem yang diaudit. Untungnya bagi organisasi, program IP baru lebih
maju dari masanya. Setelah penyebaran program IP pada akhir 1998, Gramm-Leach-Bliley
(GLB) Modernisasi Undang-undang Jasa Keuangan tahun 1999 disahkan. Itu membutuhkan,
antara lain, bahwa lembaga keuangan sepenuhnya mengungkapkan praktik mereka mengenai
distribusi informasi keuangan pribadi pelanggan mereka, mendistribusikan informasi
pelanggan tersebut hanya jika pelanggan memberi mereka izin, dan menerapkan praktik
keamanan yang memadai untuk melindungi pelanggan pribadi informasi. Pemenuhan penuh
terhadap privasi informasi dan perlindungan GLB persyaratan diperlukan pada 1 Juli 2001.
Persyaratan GLB adalah dipetakan ke program IP, dan hanya segelintir standar atau
penyesuaian baru harus dibuat. Sementara sebagian besar organisasi perbankan harus
mengembangkannya secara komprehensif program perlindungan informasi dari awal,
organisasi ini kejelian untuk mengembangkan satu sebagai praktik bisnis yang sehat,
terutama di mendesak manajer audit internal IS.

CASE STUDY 4.3

Organisasi Pemerintah tanpa Kebijakan Keamanan IS atau Standar

‘20 Audit Teknologi Informasi

15 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
 Pemerintah kota AS yang besar tidak memiliki keamanan sistem informasi kebijakan
dan standar. Akibatnya, keamanan diimplementasikan secara tidak konsisten dan tidak cukup
di antara berbagai jaringan dan sistem aplikasi yang ada tersebar di banyak agensi kota dan
unit bisnis. Bahkan mainframe sistem operasi terpusat pada pusat data tidak konsisten dan
keamanan yang memadai. Kurangnya kebijakan dan standar juga mempengaruhi sistem baru
sedang dikembangkan. Selama audit dua aplikasi besar perusahaan proyek pengembangan
sistem, ditemukan bahwa permintaan proyek untuk proposal (RFP) untuk vendor perangkat
lunak tidak termasuk keamanan logis tertentu persyaratan desain yang dianggap perlu untuk
melindungi rahasia secara memadai informasi. Tim proyek juga tidak mengidentifikasi yang
memadai prosedur pasca implementasi untuk administrasi keamanan sistem sampai setelah
auditor internal merekomendasikan mereka. Sementara beberapa jenis keamanan IS standar
atau pedoman ada dalam sejumlah prosedur yang berbeda di berbagai lembaga kota, mereka
tidak dikomunikasikan dengan baik atau tidak dikomunikasikan sama sekali, dan dengan
demikian biasanya diabaikan oleh semua kecuali agensi yang mengembangkannya. Oleh
karena itu, selama masing-masing dari dua audit pengembangan sistem aplikasi, auditor
internal merekomendasikan bahwa SI senior manajemen membuat kebijakan keamanan
informasi di seluruh kota dengan dukungan standar.
Departemen IS terpusat di kota ini baru-baru ini menyewa informasi utama petugas
keamanan (CISO). Salah satu tantangan pertama CISO adalah berkembang kebijakan
keamanan dan standar IS tingkat kota. Tetapi CISO menghadapi banyak hal rintangan.
Misalnya, keuntungan politik sering mengalihkan sumber daya dari daerah di mana mereka
paling dibutuhkan. Sistem sering diterapkan tanpa keamanan dalam pikiran, sering karena
politisi lebih suka menyediakan layanan ke publik daripada menunda layanan sampai kontrol
keamanan sistem yang memadai bias dikerahkan. Juga, penggelaran keamanan meningkatkan
biaya layanan. Ketiga kesulitan adalah bahwa laporan CISO kepada kepala IS dan akhirnya
ke walikota, sementara pemilik banyak sistem lain melapor ke manajer senior yang berbeda
dan dalam beberapa kasus ke dewan kota. Dalam dua struktur pelaporan dasar ini, agen kota
sering dioperasikan sebagai unit bisnis independen yang terpisah, dengan pelaporan IS dan
struktur pendanaan yang terpisah. Ini menyulitkan untuk setuju pada standar keamanan IS di
seluruh kota atau bahkan mendanai upaya pengembangan standar terpusat. Tantangan
keempat adalah bahwa CISO tidak memiliki staf dan kemauan perlu melobi untuk pendanaan
di dalam kota dan dari pemerintah negara bagian dan federal untuk dapat mengembangkan
dan mengkomunikasikan kebijakan dan standar cukup.

CISO perlu menekankan bahwa terlepas dari hambatan ini, itu ada di dalam kepentingan
terbaik kota dan warganya untuk mengesampingkan politik dan bekerja bersama sebagai tim
untuk mengembangkan kebijakan keamanan dan standar SI yang dapat diimplementasikan
oleh semua pekerja kota, terutama administrator keamanan sistem. Masa depan keamanan
dan reputasi kota beresiko jika standar keamanan IS adalah tidak dikembangkan dan

‘20 Audit Teknologi Informasi

16 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id
diimplementasikan. Sejauh ini kota itu beruntung tidak menderita kerugian besar dari
pelanggaran keamanan.

‘20 Audit Teknologi Informasi

17 Iwan Rijayana, S.Kom, M.M, M.Kom
Biro Akademik dan Pembelajaran
http://www.widyatama.ac.id