AUDIT SISTEM INFORMASI

Pengantar

Audit teknologi informasi atau IT (information technology) audit atau juga dikenal sebagai audit
sistem informasi (information system audit) merupakan aktivitas pengujian terhadap
pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah sistem/teknologi informasi.

Pengujian/evaluasi terhadap kelompok-kelompok unit infrastruktur tersebut dapat dilakukan atas

audit keuangan, audit internal maupun obyek-obyek lain yang terkait dengan
pengembangan/pembangunan sebuah sistem informasi.

Sebelumnya IT audit dikenal sebagai EDP (electronic data processing) audit atau audit
pengolahan data secara elektronik. Dimana pada saat itu pengujian lebih menitikberatkan pada
pengumpulan dan evaluasi bukti-bukti pengembangan, penerapan serta operasional sistem
informasi.

Diharapkan dari kegiatan tersebut dapat dikembangkan suatu pengorganisasian sebuah

pengelolaan aset sistem informasi, integritas data dan pengoperasian yang efektif dan efisien
sehingga tujuan dari lembaga yang membangunnya dapat tercapai dengan baik.

Audit TI (teknologi informasi) pun dikenal sebagai ADP (automated data processing) audit dan
computer audit.

Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS audit mungkin dapat dilihat
pada sejarah adanya kegiatan tersebut.

Sejak tahun 1977 beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang
meliputi beberapa aturan penting seperti the Gramm Leach Bliley Act, the Sarbanes-Oxley Act,
the Health Insurance Portability and Accountability Act, the London Stock Exchange Combined
Code, King II serta the Foreign Corrupt Practices Act.

Dengan melihat keseriusan pemerintahan di negara-negara maju dalam pengembangan IT audit

seperti tersebut di atas maka dapat dibayangkan betapa tidak seriusnya mengertinya Pemerintah
Republik Indonesia atas kegiatan tersebut . Padahal sudah 30 tahun sejak negara-negara maju

tersebut menetapkan aturan kewajiban IT audit di lembaga-lembaganya

Seperti tersebut di awal tulisan ini maka dapat dilihat bahwa IT audit merupakan hal yang sangat
penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya.

Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat
penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi
lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari
pengembangan/pembangunan sistem informasi.

Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur
(parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan
pembangunan/pengembangan sistem informasi.

Dengan dilakukannya IT audit yang dilakukan secara transparan dan dapat

dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di dalam
suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang tepat guna dan
berdaya guna.

Sebenarnya dalam melaksanakan IT/IS Audit terdapat berbagai tools yang sudah siap digunakan
saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.

Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best
pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework
tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan
standar yang semakin baik, efektif dan efisien.

Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:

1. COBIT® (Control Objectives for Information and related Technology)

2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal
Control—Integrated Framework
3. ISO/IEC 17799:2005 Code of Practice for Information Security Management
4. FIPS PUB 200
5. ISO/IEC TR 13335
6. ISO/IEC 15408:2005/Common Criteria/ITSEC
7. PRINCE2
8. PMBOK
9. TickIT
10. CMMI
11. TOGAF 8.1
12. IT Baseline Protection Manual
13. NIST 800-14

1. COBIT® (Control Objectives for Information and related Technology)

Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun
1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis
COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0
pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai
framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya
profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara
dibangun chapter yang dapat mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar
belakang dan para profesional external assurance. Secara manajerial target pengguna
COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali
profesional.
Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau
organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar
COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs)
dan Chartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS)
No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley
compliance.
Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan
oleh ISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®)
dan Certified Information Security Manager® (CISM®).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

o Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data

yang diproses oleh sistem informasi yang dibangun.

o Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang

diproses oleh sistem.

o Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

o Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.

o Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

o Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

o Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam

pengelolaan data/informasi.
 Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT
adalah pada:

o Applications
o Information
o Infrastructure
o People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-
menengah (UKM) yang disebut COBIT Quickstart.

2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal

Control—Integrated Framework

COSO adalah organisasi swasta yang menyusun Internal Control – Integrated Network
bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal
untuknya yang lebih efektif. Tujuan dari penyusunan framework ini adalah peningkatan
sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan
langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi
dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif,
mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama
kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO
maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional
bagi framework ini. Lingkup kriteria informasi yang sering menjadi perhatian dalam
Internal Control – Integrated Framework COSO adalah:

o Effectiveness
o Efficiency
o Confidentiality
o Integrity
o Availability
o Compliance
o Reliability

Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-
komponen yang menjadi perhatian dalam Internal Control – Integrated Framework
COSO identik dengan COBIT. Sedangkan fokus terhadap pengelolaan sumber daya
teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik
dengan COBIT.

3. ITIL (Information Technology Infrastructure Library)

Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan
framework/best practice bagi IT service management untuk menciptakan layanan
teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang
disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA)
yang sekarang dikenal sebagai the British Office of Government Commerce (OGC).
Delapan serial buku ITIL tersebut terdiri atas:

o Software Asset Management

o Service Support
o Service Delivery
o Planning to Implement Service Management
o ICT Infrastructure Management
o Application Management
o Security Management
o Business Perspective

British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh
Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan
dalam penetapan sertifikasi. Sedangkan untuk pemusatan perhatian pada kebutuhan
keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS
15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:

o Foundation certificate

Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari
ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini
merupakan sertifikasi pertama dari tingkatan yang ada.

o Practitioner’s certificate

Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan
mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di
tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja
(spesialisasi).

o Manager’s certificate

Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan,

akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model
uraian.

Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:

o Effectiveness
o Efficiency
o Confidentiality
o Integrity
 o Availability
o Compliance

Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam
COBIT.

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL
identik dengan COBIT.

4. ISO/IEC 17799:2005 Code of Practice for Information Security Management

ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah

standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan
keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan
dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk
meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar
organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132
(seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada
pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi
dapat memilih pada bagian-bagian yang terkait saja. Edisi pertama dari ISO/IEC
17799:2005 Code of Practice for Information Security Management diterbitkan pada
tahun 2000 dan edisi keduanya terbit pada tahun 2005.
Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information
Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya
revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series,
Information Security Management System sebagai ISO 27002. Standar tersebut dapat
digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan
informasi.
Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat
sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2).
Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan
dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada
effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability.
Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu
memfokuskan pada infrastructure.

Melanjutkan topik sebelumnya tentang IT Audit Standard Tools/Framework pada bagian ini akan
dibahas tentang standar lainnya yang terdiri atas:

1. FIPS PUB 200

2. ISO/IEC TR 13335
1. FIPS PUB 200

The Federal Information Processing Standards (FIPS) Publication 200 Minimum

Security Requirements for Federal Information and Information Systems merupakan
standar nasional di Amerika Serikat yang pertama diterbitkan pada bulan Maret 2006.
Standar ini diterbitkan dan dikembangkan oleh The Computer Security Division of the
National Institute of Standards and Technology (NIST) sebagai bagian dari Departemen
Perdagangan Amerika Serikat sebagai tindak lanjut dari Undang-Undang Manajemen
Keamanan Informasi Federal (the Federal Information Security Management
Act/FISMA).
FIPS PUB 200 tidak menerbitkan sertifikasi untuk keahlian/profesional/keahlian.
Dikarenakan standar ini ditujukan untuk lembaga-lembaga pemerintahan di Amerika
Serikat, FIPS PUB 200 tidak dirancang dan diterbitkan sebagai standar internasional.
Dibandingkan dengan COBIT dalam FIPS PUB 200 lebih berkonsentrasi pada aspek
confidentiality, integrity dan availability untuk pengelolaan kriteria informasi. Sedangkan
untuk pemanfaatan sumber daya TI tidak begitu berfokus pada pengelolaan informasi.

2. ISO/IEC TR 13335

ISO/IEC TR 13335 Information Technology—Guidelines for the Management of IT

Security merupakan format laporan teknis yang terbagi atas lima bagian. Format laporan
teknis ini diterbitkan oleh ISO dan IEC yang membuat komite kerjasama teknis bernama
ISO/IEC JTC 1.ISO/IEC JTC 1 memiliki sub komite yang bernama SC 27 (IT security
techniques) yang menerbitkan beberapa standar internasional di bidang TI seperti
ISO/IEC 17799:2005.Tujuan dari disusunnya standar laporan teknis ini lebih
dititikberatkan pada manajemen keamanan teknologi informasi yang terbagi atas lima
bagian sebagai berikut:

o Manajemen penugasan/penguasaan mengenai penyusunan, penyiapan konsep

keamanan serta pemodelan untuk teknologi informasi dan komunikasi.
o Pendiskusian tata kerja menyeluruh mengenai manajemen dan penerapan
keamanan TI.
o Penyusunan teknik manajemen keamanan TI.
o Panduan beberapan petunjuk pilihan penjagaan keamanan yang diterbitkan pada
beberapa jenis sistem TI yang terfokus pada ancaman dan gangguan keamanan TI.
o Identifikasi dan analisa faktor-faktor terkait dalam komunikasi informasi pada
saat mengenalkan keamanan jaringan.

Format standar laporan ini dapat diterapkan di berbagai jenis lembaga. Dalam bagian
pertama laporan ditujukan untuk para manajer senior dan manajer keamanan informasi.
Sedangkan bagian lainnya ditujukan untuk pelaksana tugas lainnya seperti manajer TI
atau staf keamanan TI yang memiliki tanggung jawab dalam penerapan standar
keamanan TI. Standar ini diterbitkan pertama kali pada tahun 1997 hingga 2004.
Sedangkan sertifikasi keahlian/profesional/lembaga tidak diterbitkan untuk standar ini.
 Dibandingkan dengan standar COBIT pada ISO/IEC TR 13335 tidak mengatur mengenai
aspek efficiency dan sedikit menyentuh aspek effectiveness untuk pengaturan kriteria
informasi. Sedangkan di sisi pengelolaan sumber daya TI identik dengan standar COBIT.

Melanjutkan topik sebelumnya yang sudah disampaikan dalam dua posting terdahulu mengenai
IT Audit Standard Tools/Framework, maka dengan ini kita lanjutkan diskusi mengenai hal
tersebut.

Berikut ini adalah IT Audit Standard Tools/Framework yang akan dibicarakan pada posting ini
adalah ISO/IEC 15408:2005/Common Criteria/ITSEC.

Standar internasional ISO/IEC 15408:2005 Security Techniques—Evaluation Criteria for IT

Security dibuat berdasarkan Common Criteria for Information Technology Security Evaluation
2.0; dimana standar dasar tersebut dimasukkan dalam satu bab khusus dalam framework ini.
Common Criteria (CC) merupakan lanjutan dari Information Technology Security Evaluation
Criteria (ITSEC) yang diterbitkan oleh the European Commission pada tahun 1991 dimana
dokumen tersebut memiliki nama yang identik.
ISO/IEC 15408:2005 diterbitkan oleh ISO/IEC JTC 1 yang bekerjasama dengan Common
Criteria Project Sponsoring Organisation yang dikenal sebagai CC. Anggota dari organisasi
kerjasama ini terdiri dari beberapa negara yang melibatkan beberapa departemen yaitu:

 Kanada — Communications Security Establishment

 Perancis — Central Service of the Information System Security
 Jerman — Federal Office for Security in Information Technology
 Belanda — The Netherlands National Communications Security Agency
 Inggris — Communications-Electronics Security Group
 Amerika Serikat — National Institute of Standards and Technology and National
Security Agency

Secara kesejarahan, dapat kita lihat bagaimana standar dari masing-masing negara anggota saling
mempengaruhi hingga terbitnya standar ISO/IEC 15408:2005/Common Criteria/ITSEC sebagai
berikut:
Amerika Serikat memiliki/menerbitkan US Orange Book TCSEC yang diterbitkan pada tahun
1985. Standar tersebut menjadi masukan bagi Kanada dalam menyusun dan menerbitkan
Canadian Criteria yang diterbitkan pada tahun 1993 serta Federal Criteria pada tahun yang
sama.
Selain itu dari standar tersebut muncul ITSEC pada tahun 1991. Namun standar ini pun mendapat
pengaruh juga dari UK Confidence Levels yang diterbitkan pada tahun 1989, German Criteria
serta French Criteria. Berangkat dari standar-standar tersebut maka terbitlah standar framework
Common Criteria versi 1.0 pada tahun 1996 yang kemudian disempurnakan menjadi versi 2.0
pada tahun 1998 dan versi 2.1 pada tahun 1999.
Setelah berkolaborasi dengan ISO/IEC JTC 1 maka disusun dan diterbitkanlah ISO/IEC
15408:1999 yang rilis terakhirnya adalah standar ISO/IEC 15408:2005.
Standar ini diterbitkan sebagai dasar krieteria yang didefinisikan sebagai alat uji bagi keamanan
TI yang lebih difokuskan pada keamanan sistem dan produk TI.
ISO/IEC 15408:2005/Common Criteria/ITSEC seringkali diterapkan pada kasus-kasus bisnis
sebagai berikut:

 Penerapan dari produk/jasa TI sebaiknya disertifikasi

 Pengujian keamanan bagi produk semi pengembangan seperti sistem kontrol

Standar ini ditujukan secara spesifik untuk tiga kelompok sebagai berikut:

 Pelanggan/Consumers
 Pengembang/Developers
 Penguji/Evaluators

Standar CC hanya menerbitkan sertifikasi untuk produk/jasa TI, tidak untuk personal. Sedangkan
secara sudut pandang IT governance standar ini dianggap masih belum lengkap karena tidak
secara menyeluruh dalam menetapkan setiap aspek penugasan manajemen TI. Standar ini lebih
terpusat pada produk/jasa TI, bukan pada aspek-aspek manajemen TI.
Jika dibandingkan dengan standar COBIT maka secara aspek kriteria informasi hanya berfokus
pada Confidentiality, Integrity, Availability, sedikit aspek Compliance dan Reliability. Namun
dari sisi pengelolaan sumber daya TI identik dengan standar COBIT.

Melanjutkan posting mengenai IT Audit Standard Tools/Framework yang sudah disajikan dalam
Bagian I, Bagian II dan Bagian III dengan judul yang sama sebelumnya maka akan kita lanjutkan
mengenai framework lainnya yang terdiri atas:

 PRINCE2
 PMBOK
 TickIT

Seluruh framework tersebut dalam posting ini akan dibandingkan dengan standar COBIT 4.1
yang disusun dan diterbitkan oleh IT Governance Institute.

Berikut ini penjelasan atas masing-masing IT Audit Standard Tools/Framework tersebut:

PRINCE2

Projects in Controlled Environments (PRINCE) dibangun/disusun sebagai metode terstruktur

dalam pengelolaan proyek TI secara efektif yang dipublikasikan dalam satu dokumen yang
dikenal sebagai Managing Successful Projects With PRINCE2.

PRINCE2 dipublikasikan pertama kali pada tahun 1996 sebagai respon atas kebutuhan pengguna
yang memerlukan adanya panduan dalam manajemen proyek di segala jenis proyek, tidak hanya
bagi proyek-proyek di bidang TI (teknologi informasi).

Walaupun sebenarnya pada tahun 1989 metode PRINCE sudah dikembangkan pertama kali oleh
Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai
British Office of Government Commerce (OGC) yang meneruskan pengembangannya. Terbitan
terbaru dari PRINCE2 adalah pada tahun 2005.

Tujuan utama dari PRINCE2 adalah mendefinisikan sebuah metode manajemen proyek yang
meliputi seluruh bagian dan aktivitas yang perlu dilaksanakan dalam sebuah proyek. Sedangkan
target organisasi yang dituju dari metode ini adalah setiap jenis maupun besaran lembaga.

Fokus mendasar dari PRINCE2 adalah pada pengelolaan kasus bisnis yang memberikan
gambaran rasional dan penilaiannya untuk proyek yang sedang dilaksanakan. Kasus-kasus bisnis
tersebut membimbing seluruh proses manajemen proyek dari mulai inisial persiapan proyek
hingga penyelesaiannya.

PRINCE2 dalam penerapannya selalu menyertakan subyek berikut yang mengikuti kasus-kasus
bisnis yaitu:

1. Membangun pengertian mendasar atas proses, tanggung jawab dan standar penilaian
untuk manajemen proyek
2. Menyediakan pendekatan yang konsisten dalam manajemen proyek tanpa membedakan
jenis proyeknya
3. Memastikan keterlibatan aktif dari para pengguna dan pemegang kebijakan
4. Memastikan fokus pada tujuan selama pengambilan keputusan dalam pelaksanaan proyek
5. Pengadopsian best-practice dari manajemen proyek yang sudah teruji

PRINCE2 memiliki dua tingkat sertifikasi profesional untuk perseorangan yaitu:

1. Foundation Certificate

Ujiannya dilaksanakan dalam satu jam yang meliputi 75 pertanyaan pilihan berganda.

2. Registered Practitioner

Ujiannya dilaksanakan dalam tiga jam yang meliputi tiga kasus berbeda dalam 150
pertanyaan pilihan berganda. Untuk dapat lulus minimal harus lulus 75 pertanyaan yang
dapat dilakukan dengan sistem open book. PRINCE2 Registered Practitioners diwajibkan
melakukan pendaftaran ulang setiap 3-5 tahun untuk memelihara sertifikasi keahlian
mereka. Hal ini dilaksanakan melalui satu ujian praktis yang dilaksanakan dalam satu jam
dengan satu skenario kasus dalam pertanyaannya.

Secara spesifik, PRINCE2 merupakan standar dalam manajemen proyek TI dan tidak memiliki
arah secara khusus pada manajemen TI atau/dan tata-kelola TI (IT governance).

Untuk informasi lebih lanjut dapat mengakses website berikut:

 OGC
 APMG
PMBOK

Project Management Body of Knowledge (PMBOK) adalah panduan yang berisikan kumpulan
pengetahuan yang diperlukan oleh para profesional dalam manajemen proyek. PMBOK
merupakan standar yang ditetapkan oleh American National Standard, ANSI/PMI 99-001-2004
yang diterbitkan oleh Project Management Institute (PMI).

Tujuan utama dari PMBOK adalah melakukan identifikasi secara bagian per bagian dari
Pengetahuan atas Badan Pengelola Proyek (Project Management Body of Knowledge) yang
secara umum dikenal sebagai praktek terbaik.

Panduan dari PMBOK menyajikan dan mengenalkan bahan-bahan penting untuk didiskusikan,
ditulis dan diterapkan dalam manajemen proyek.

PMBOK selalu diterapkan sebagai subyek pada satu atau lebih kasus-kasus bisnis yang
menyertai hal-hal berikut:

1. Menetapkan hal-hal utama yang dilaksanakan dalam proses manajemen proyek

2. Meningkatkan pengetahuan dari praktek terbaik yang disajikan dalam manajemen proyek

PMBOK ditujukan sebagai referensi dasar bagi pihak manapun yang memiliki kepedulian
terhadap pekerjaan dalam manajemen proyek.

Secara berkala PMBOK ditinjau-ulang dan dimutakhirkan sejak pertama kali dipublikasikan
pada tahun 1983. Rilis terbaru dari PMBOK diterbitkan pada tahun 2004.

PMI menawarkan program sertifikasi PMP (Project Management Professional) bagi para
manajer proyek. Ujian untuk memperoleh sertifikasi ini didasarkan pada Project
Management Professional Examination Specification yang dapat memberikan gambaran tingkat
kompetensi dari seorang PMP, pengetahuan serta keterampilannya dalam menyelesaikan setiap
tugas.

Seperti halnya PRINCE2, PMBOK merupakan standar yang lebih spesifik pada manajemen
proyek TI dan tidak secara khusus dirancang sebagai framework bagi IT governance dan IT
management.

Untuk informasi lebih lanjut dapat mengakses website PMI.

TickIT

TickIT adalah skema baku yang digunakan dalam proses assessement dan sertifikasi pada sistem
manajemen mutu perangkat lunak suatu organisasi.
Standar ini dipublikasikan dan dikelola oleh TickIT Office, sebuah unit bisnis dari British
Standards Institution.

Tujuan dari penyusunan standar ini adalah supaya para pengembang perangkat lunak memiliki
perhatian spesifik pada:

1. Mutu sebagai bagian penting dalam proses pengembangan perangkat lunak

2. Prioritas pada mutu yang terukur
3. Pengembangan yang berkelanjutan atas sistem manajemen mutu

Tujuan penting dari pengembangan TickIT bagi pihak manajemen pengembangan perangkat
lunak adalah membangun sertifikasi yang efisien atas sistem manajemen mutu. Untuk mencapai
hal tersebut, mengikuti langkah-langkah berikut adalah hal yang harus dilakukan:

1. Membuat panduan yang memfasilitas penafsiran dari ISO 9001:2000

2. Meningkatkan pengetahuan dari para auditor TI/SI yang terdaftar hingga memiliki
keahlian dan kompetensi yang memadai
3. Membuat aturan-aturan yang dapat bertugas sebagai badan akreditasi di sektor perangkat
lunak

TickIT biasanya selalu diterapkan pada subyek-subyek yang mengikuti kasus-kasus bisnis
sebagai berikut:

1. Kebutuhan atas sertifikasi sistem manajemen mutu

2. Kebutuhan atas panduan pada spesifikasi tertentu
3. Perangkat lunak yang menjadi bagian terintegrasi pada suatu produk
4. Sistem pekerjaan subkontrak pada pihak ketiga dan bergantung pada mutu standar
organisasi yang mempekerjakannya

TickIT dirancang untuk organisasi yang memandang pengembangan perangkat lunak

memberikan nilai yang berpengaruh atas layanan/produk lembaga tersebut. Maka standar ini
sangat terkait dengan para manajer senior, badan eksekutif dan badan akreditasi yang berwenang.

Secara klasifikatif, TickIT difokuskan pada tiga kelompok pengguna yaitu:

1. Pelanggan (customer)

TickIT memberikan panduan bagaimana pelanggan dapat mempengaruhi mutu dari suatu
produk.

2. Penyalur (supplier)

TickIT memberikan panduan kepada pengembang perangkat lunak, termasuk para

pengembang internal suatu organisasi yang memiliki perhatian atas peningkatan
efektifitas atas sistem manajemen mutu mereka.
 3. Auditor

TickIT memberikan panduan kepada para auditor bagaimana melakukan assessement

procedures dengan pasti.

Sertifikasi TickIT tersedia untuk tingkat organisasi yang memberikan gambaran penerapan dari
skema TickIT bagi manajemen mutu. Sertifikasi ISO 9001:2000 memiliki kesamaan dengan
sertifikasi TickIT secara internasional. Sedangkan bagi para profesional tersedia sertifikasi untuk
auditor.

Walaupun berasal dari Inggris, TickIT banyak digunakan di beberapa negara di wilayah Eropa.
TickIT memiliki fokus utama pada pengembangan perangkat lunak dan terkait dengan sistem
manajemen mutu sehingga standar ini diklasifikasikan sebagai bagian dari tata-kelola TI.

Melanjutkan posting mengenai IT Audit Standard Tools/Framework yang sudah disajikan dalam
Bagian I, Bagian II, Bagian III dan Bagian IV dengan judul yang sama sebelumnya maka akan
kita lanjutkan mengenai framework lainnya yaitu CMMI.

Capability Maturity Model Integration® (CMMI) adalah dokumentasi best-practice yang

diarahkan sebagai panduan dalam pemberdayaan proses pengembangan teknologi informasi.

Dokumentasi CMMI menyajikan model-model rekayasa sistem (system engineering), produk

terpadu, pengembangan proses dan pengelolaan sumber daya dari pihak penyalur (supplier).

CMMI dipublikasikan oleh Software Engineering Institute (SEI) of Carnegie Mellon University.
Dimana standar CMMI tersebut secara generik didasarkan pada Capability Maturity Model
(CMM).

Tujuan dari panduan dokumentasi CMMI meliputi peningkatan proses dalam membangun
produk yang lebih baik yang berbasiskan proses pengembangannya.

CMMI secara fungsional diterapkan pada kasus-kasus berikut:

 Penilaian studi kualitas (assessing) atas proses kematangan (maturity) terkini.

 Meningkatkan kualitas struktur organisasi dan pemrosesan dengan mengikuti pendekatan
best-practice.
 Digunakan dalam proses uji-kinerja (benchmarking) dengan organisasi lainnya.
 Meningkatkan produktivitas dan menekan resiko proyek.
 Menekan resiko dalam pengembangan perangkat lunak.
 Meningkatkan kepuasan pelanggan.

Target pengguna dari CMMI adalah pengembang perangkat lunak (software developer), manajer
sistem, program dan perangkat lunak, praktisi dari berbagai latar belakang yang terkait dengan
sistem dan perangkat lunak serta pemerintah dan industri yang terkait dengan sistem intensif
perangkat lunak.
Versi pertama dari dokumentasi CMMI dipublikasikan pertama kali pada tahun 2002 dan masih
terus dimutakhirkan sampai sekarang.

Sertifikasi untuk CMMI diterbitkan oleh beberapa organisasi. Sedangkan process maturity
appraisals diproses oleh beberapa organisasi dengan menggunakan standar SEI’s Standard
CMMI Appraisal Method for Process Improvement (SCAMPI) or ISO/IEC 15504.

Gambaran Umum Pekerjaan Auditor IT/SI

Untuk memberikan gambaran agak lengkap mengenai pekerjaan auditor IT/IS mungkin harus
merunut ke belakang tentang terbentuknya disiplin profesional ini.

Supaya dapat memahami proses audit teknologi informasi, setidaknya kita harus memahami
jenis/bagian secara umum dari teknologi informasi itu sendiri yang terdiri atas:

1. Systems and Applications

Pada bagian ini mewakili bagaimana sebuah data diproses melalui aplikasi perangkat
lunak komputer yang dikelola melalui suatu sistem yang biasanya terdiri atas tingkatan
hierarkis yang mengikuti aturan bisnis yang berlaku di organisasi yang menggunakannya.
Sehingga proses auditnya sendiri akan meliputi verifikasi terhadap sistem dan aplikasinya
apakah handal, efisien serta memiliki kontrol yang melekat untuk memastikan kebenaran,
kehandalan, kecepatan maupun keamanan pada saat pengiriman, pemrosesan serta
pengeluaran informasi di setiap tingkatan kegiatan sistem.

2. Information Processing Facilities

Merupakan komponen yang terkait dengan fasilitas-fasilitas yang digunakan untuk

mengolah informasi di suatu organisasi. Biasanya ini terkait dengan perangkat keras
seperti misalkan scanner, komputer server, formulir, dsb.
Di komponen teknologi informasi ini dilakukan verifikasi untuk memastikan apakah
fasilitas pemrosesan terkendalikan untuk memastikan kecepatan, ketepatan dan tingkat
efisiensi dari aplikasi-aplikasi berada dalam kondisi normal serta di bawah kemungkinan
adanya potensi kerusakan/gangguan.

3. Systems Development

Adalah bagian dari proses pembangunan maupun pengembangan dari sistem yang sudah
ada dalam suatu organisasi sesuai tujuan-tujuan aktivitasnya.
Proses audit pada komponen ini ditujukan untuk memverifikasi apakah setiap sistem
yang sedang dalam proses pengembangan sesuai dengan tujuan/pedoman/arahan/visi/misi
dari organisasi penggunanya.
Selain itu proses audit pada bagian ini juga ditujukan untuk memastikan apakah selama
 proses pengembangan sistem sesuai dengan standar-standar yang secara umum
digunakan dalam pengembangan sistem.

4. Management of IT and Enterprise Architecture

Pengelolaan atas teknologi informasi serta arsitektur seluruh lingkup internal organisasi
yang disesuaikan dengan struktur dan prosedur yang ditetapkan oleh manajemen adalah
sangat penting.
Pentingnya hal tersebut memerlukan proses audit yang dilaksanakan untuk memastikan
apakah segenap lingkungan/komponen organisasi dalam pemrosesan informasinya
dilakukan secara terkendali dan efisien.

5. Client/Server, Telecommunications, Intranets, and Extranets

Komputer, peralatan telekomunikasi, sistem jaringan komunikasi data elektronik

(intranet/extranet) serta perangkat-perangkat keras pengolahan data elektronik lainnya
adalah komponen dari sebuah teknologi informasi.
Audit di bagian ini menjadi penting untuk melakukan verifikasi atas seperangkat
pengendalian pada infrastruktur perangkat keras yang digunakan dalam pemrosesan serta
komunikasi data secara elektronik dalam suatu sistem jaringan yang terintegrasi.

Dimana dalam melaksakan proses audit teknologi/sistem informasi meliputi tahapan-tahapan

berikut:

 Planning

Pada tahapan ini lakukan perencanaan menyeluruh atas hal-hal mendasar seperti:

o Fokus komponen yang akan diaudit

o Alat (framework) yang akan digunakan sebagai pedoman pelaksanaan audit
o Kebutuhan sumber daya yang diperlukan
o Hasil akhir yang diinginkan dari proses audit
o Jadual kegiatan
o Rencana Anggaran Biaya jika menggunakan jasa pihak lainnya
 Studying and Evaluating Controls

Pada tahap ini setelah kita mempelajari bagaimana kondisi dari obyek audit kita.
Biasanya secara mendasar fokus dari audit adalah kemampuan pengendalian/kontrol atas
obyek tersebut. Kemudian dari hasil melakukan analisis tersebut disusun evaluasi
atasnya.

 Testing and Evaluating Controls

Setelah mempelajari dan mengevaluasi hasil analisisnya, tahap berikutnya adalah

melakukan serangkaian pengujian atas obyek audit kita.
Pengujian tersebut tentunya menggunakan standar-standar baku berdasarkan framework
 yang sudah ditetapkan sebelumnya untuk digunakan dalam proses audit.
Sama halnya dengan tahapan sebelumnya, inti dari proses audit adalah melakukan telaah
uji atas kemampuan pengendalian atas setiap aspek dari sumber daya teknologi informasi
yang ada berdasarkan batasan-batasan yang sudah disepakati sebelumnya.
Hasil dari pengujian tersebut kemudian dievaluasi untuk disusun dalam laporan hasil
pemeriksaan.

 Reporting

Seluruh tahapan yang telah dilakukan sebelumnya dalam proses audit teknologi informasi
kemudian didokumentasikan dalam suatu laporan hasil pemeriksaan/audit.

 Follow-up

Hasil dari laporan hasil pemeriksaan/audit kemudian ditindaklanjuti sebagai acuan para
pemegang kebijakan di setiap tingkatan manajemen organisasi dalam menentukan arah
pengembangan dari penerapan teknologi informasi di organisasi tersebut.

Nah, melihat luasnya cakupan aspek audit teknologi/sistem informasi tersebut di atas maka
kualifikasi yang diperlukan untuk menjadi auditor TI/SI menjadi multi-disiplin pengetahuan dan
keahlian.

Seorang auditor TI/SI tidak hanya harus memahami sisi teknis tapi juga harus bisa memahami
aspek manajerial terutama di bagian manajemen keuangan.

Sehingga selain harus memiliki keahlian yang memadai dalam masalah-masalah teknis di bidang
teknologi informasi, seorang auditor TI/SI didukung pula dengan pemahaman yang baik atas
prinsip-prinsip akuntansi.

Hal ini disebabkan oleh besarnya tanggung jawab yang harus dipikul oleh seorang auditor TI/SI
yang melakukan evaluasi terhadap pengendalian atas pencatatan/perekaman dan
pemeliharaan/pengamanan aset organisasi yang diaudit olehnya.

DAFTAR PUSTAKA

1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality Management
System Construction and
Certification, UK, 1994
2. British Office of Government Commerce (OCG), [formerly the Central Computer and
Telecommunications Agency (CCTA)],
IT Infrastructure Library (ITIL), UK, 1989
3. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002,
2005
4. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software Quality
Management Systems Construction,
Certification and Continued Improvement, UK, 2001
 5. Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal Control –
Integrated Framework, USA, 1992
6. Computer Security Division of the National Institute of Standards and Technology, Minimum
Security Requirements for Federal
Information and Information Systems (FIPS PUB 200), Department of Commerce, USA, March
2006,
7. Computer Security Resource Center of the National Institute of Standards and Technology, An
Introduction to Computer Security:
The NIST Handbook, Special Publication 800-12, Department of Commerce, USA, 1995
8. Computer Security Resource Center of the National Institute of Standards and Technology,
Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
9. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology
Security Evaluation 2.0, 1999
10. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
International Organisation for Standardisation, Code of Practice for Information Security
Management, ISO/IEC 17799,
Switzerland, 2005
11. International Organisation for Standardisation, Information Technology ”Guidelines for the
Management of IT Security,
ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
12. International Organisation for Standardisation, Quality Management and Quality Assurance
Standards – Part 3: Guidelines for the
Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of
Computer Software, ISO 9000-3,
Switzerland, 1991
13. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
14. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT
Security, ISO/IEC 15408, Switzerland,
2005
15. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
16. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
17. IT Governance Institute, COBIT 4.0, USA, 2005
18. IT Governance Institute, COBIT 4.1, USA, 2007
19. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon
University,
Software Engineering Institute, USA, 1993
20. Project Management Institute, A Guide to the Project Management Body of Knowledge
(PMBOK), 3rd Edition, 2004
21. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model
Integration (CMMI), USA, 2002
22. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003

DAFTAR PUSTAKA
 1. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002,
2005
2. Computer Security Division of the National Institute of Standards and Technology, Minimum
Security Requirements for Federal
Information and Information Systems (FIPS PUB 200), Department of Commerce, USA, March
2006,
3. Computer Security Resource Center of the National Institute of Standards and Technology, An
Introduction to Computer Security:
The NIST Handbook, Special Publication 800-12, Department of Commerce, USA, 1995
4. Computer Security Resource Center of the National Institute of Standards and Technology,
Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
5. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology
Security Evaluation 2.0, 1999
6. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
International Organisation for Standardisation, Code of Practice for Information Security
Management, ISO/IEC 17799,
Switzerland, 2005
7. International Organisation for Standardisation, Information Technology-Guidelines for the
Management of IT Security,
ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
8. International Organisation for Standardisation, Quality Management and Quality Assurance
Standards – Part 3: Guidelines for the
Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of
Computer Software, ISO 9000-3,
Switzerland, 1991
9. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
10. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT
Security, ISO/IEC 15408, Switzerland,
2005
11. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
12. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
13. IT Governance Institute, COBIT 4.0, USA, 2005
14. IT Governance Institute, COBIT 4.1, USA, 2007
15. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon
University,
Software Engineering Institute, USA, 1993
16. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model
Integration (CMMI), USA, 2002
17. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003

DAFTAR PUSTAKA

1. Computer Security Resource Center of the National Institute of Standards and

Technology, Generally Accepted Principles and Practices
 for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
2. Common Criteria Project Sponsoring Organisation, Common Criteria for Information
Technology Security Evaluation 2.0, 1999
3. International Organisation for Standardisation, Quality Management and Quality
Assurance Standards – Part 3: Guidelines for the
Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance
of Computer Software, ISO 9000-3,
Switzerland, 1991
4. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
5. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
6. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
7. IT Governance Institute, COBIT 4.0, USA, 2005
8. IT Governance Institute, COBIT 4.1, USA, 2007

DAFTAR PUSTAKA

1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality
Management System Construction and
Certification, UK, 1994
2. British Office of Government Commerce, Managing Successful Projects with PRINCE2,
UK, 2002, 2005
3. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software
Quality Management Systems-Construction,
Certification and Continued Improvement, UK, 2001
4. Computer Security Resource Center of the National Institute of Standards and
Technology, Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
5. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
6. Project Management Institute, A Guide to the Project Management Body of Knowledge
(PMBOK), 3rd Edition, 2004

DAFTAR PUSTAKA

1. Computer Security Resource Center of the National Institute of Standards and

Technology, Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
2. Common Criteria Project Sponsoring Organisation, Common Criteria for Information
Technology Security Evaluation 2.0, 1999
3. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM),
Germany
International Organisation for Standardisation, Code of Practice for Information Security
 Management, ISO/IEC 17799,
Switzerland, 2005
4. International Organisation for Standardisation, Information Technology ”Guidelines for
the Management of IT Security,
ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
5. International Organisation for Standardisation, Quality Management and Quality
Assurance Standards-Part 3: Guidelines for the
Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance
of Computer Software, ISO 9000-3,
Switzerland, 1991
6. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
7. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
8. IT Governance Institute, COBIT 4.0, USA, 2005
9. IT Governance Institute, COBIT 4.1, USA, 2007
10. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24,
Carnegie Mellon University, Software Engineering Institute, USA, 1993
11. Software Engineering Institute of Carnegie Mellon University, Capability Maturity
Model Integration (CMMI), USA, 2002

IT Audit dan Forensic (Prosedur dan Lembar Kerja serta Tools

yang digunakan)

IT AUDIT

IT AUDIT adalah suatu proses kontrol pengujian terhadap

infrastruktur teknologi informasi dimana berhubungan dengan
masalah audit finansial dan audit internal. Audit IT sendiri
merupakan gabungan dari berbagai macam ilmu, antara lain
Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi
Akuntansi, Ilmu Komputer dan Behavioral Science.

Tujuan IT AUDIT:
Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor
ketersediaan (availability), kerahasiaan (confidentiality) dan
keutuhan(integrity) dari sistem informasi organisasi.

Jenis-jenis IT AUDIT

IT AUDIT terbagi kedalam beberapa jenis diantaranya:

1. Sistem dan Aplikasi.

yaitu Audit yang berfungsi untuk memeriksa apakah sistem dan
aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan
memiliki kontrol yang cukup baik untuk menjamin keabsahan,
kehandalan, tepat waktu, dan keamanan pada input, proses, output
pada semua tingkat kegiatan sistem.

2. Fasilitas Pemrosesan Informasi.

Audit yang berfungsi untuk memeriksa apakah fasilitas
pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian,
dan pemrosesan aplikasi yang efisien dalam keadaan normal dan
buruk.

3. Pengembangan Sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang
dikembangkan mencakup kebutuhan obyektif organisasi.

4. Arsitektur perusahaan dan manajemen TI.

Audit yang berfungsi untuk memeriksa apakah manajemen TI
dapat mengembangkan struktur organisasi dan prosedur yang
menjamin kontrol dan lingkungan yang berdaya guna untuk
pemrosesan informasi.

5. Client/Server, Telekomunikasi, Intranet dan Internet.

Suatu audit yang berfungsi untuk memeriksa apakah kontrol-
kontrol berfungsi pada client, server, dan jaringan yang
menghubungkan client dan server.
Prosedur IT AUDIT:

Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system

informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
· Apakah IS melindungi aset institusi: asset protection, availability
· Apakah integritas data dan sistem diproteksi secara cukup
(security, confidentiality )?
· Apakah operasi sistem efektif dan efisien dalam mencapai
tujuan organisasi, dan lain-lain.

Metodologi IT AUDIT

Dalam prakteknya, tahapan-tahapan dalam audit IT tidak berbeda

dengan audit pada umumnya, sebagai berikut:

1.Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor
mengenal benar obyek yang akan diperiksa sehingga menghasilkan
suatu program audit yang didesain sedemikian rupa agar
pelaksanaannya akan berjalan efektif dan efisien.

2.Mengidentifikasikan resiko dan kendali.

Untuk memastikan bahwa qualified resource sudah dimiliki, dalam
hal ini aspek SDM yang berpengalaman dan juga referensi praktek-
praktek terbaik.

3.Mengevaluasi kendali dan mengumpulkan bukti-bukti.

Melalui berbagai teknik termasuk survei, interview, observasi, dan
review dokumentasi

4.Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan
audit.

5.Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.

Lembar Kerja IT AUDIT

•Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor

•Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll

•Output Internal IT:

– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard-standard yang diakui

•Output External IT:

– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
•Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting

IT FORENSIC

IT Forensic didefinisikan sebagai penggunaan sekumpulan

prosedur untuk melakukan pengujian secara menyeluruh suatu
sistem komputer dengan mempergunakan software dan tool untuk
mengekstrak dan memelihara barang bukti tindakan criminal.

IT Forensic bertujuan untuk mendapatkan fakta-fakta obyektif dari

sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-
fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence)
yang akan digunakan dalam proses hukum.

Metodologi umum dalam proses pemeriksaan insiden sampai

proses hukum:

1.Pengumpulan data/fakta dari sistem komputer (harddisk, usb-

stick, log, memory-dump, internet, dll) – termasuk di dalamnya data
yang sdh terhapus.

2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga

integritas data selama proses forensik dan hukum dengan proteksi
fisik, penanganan khusus, pembuatan image, dan menggunakan
algoritma HASH untuk pembuktian / verifikasi

3.Merunut kejadian (chain of events) berdasarkan waktu kejadian

4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat

5.Dokumentasi hasil yang diperoleh dan menyusun laporan

6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli,

dll)

Tools yang digunakan untuk IT Audit dan Forensik :

1. Hardware
o Harddisk IDE dan SCSI kapasitas sangat besar, CD-R,
DVR drives
o Memori yang besar (1 - 2 GB RAM)
o Hub, Switch, keperluan LAN
o Legacy hardware (8088s, Amiga)
o Laptop Forensic Workstations
2. Software
o Viewers (QVP http://www.avantstar.com/,
http://www.thumbsplus.de/ )
o Erase/Unerase tools : Diskscrub/Norton utilities
o Hash utility (MD5, SHA1)
o Text search utilities (dtsearch http://www.dtsearch.com/ )
o Drive imaging utilities (Ghost, Snapback, Safeback)
o Forensic toolkits
 Unix/Linux : TCT The Coroners Toolkit / ForensiX
 Windows : Forensic Toolkit
o Disk editors (Winhex)
o Forensic aquisition tools (DriveSpy, EnCase, Safeback,
SnapCopy)
o Write-blocking tools (FastBloc
http://www.guidancesoftware.com/ ) untuk memproteksi
bukti-bukti
o Forensic software tools for Windows (dd for Windows,
Encase 4, FTK, MD5, ISOBuster)
o Image and Document Readers (ACDSee, DecExt)
 o Data Recovery/Investigation (Active Partition Recovery,
Decode – Forensic Date/Time Decoder)
o Dll.

Sumber:
http://www.scribd.com/doc/31675347/Audit-IT-dan-Forensik-Komputer

http://www.forensic-computing.ltd.uk/tools.htm

http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf

http://www.digitalkafe.com/wp-content/uploads/2009/09/04_auditti-forensikti.pdf

IT AUDIT
Information Technology audit (IT audit) adalah pemeriksaan akan pengendalian yang ada pada
infrastruktur tekonologi informasi. Proses tersebut meliputi mendapatkandan mengevaluasi
bukti-bukti sistem informasi, praktik, dan operasi perusahaan. Evaluasi yang dilakukan harus
dapat memberikan keyakinan bahwa aset perusahaan terjaga, begitu pula integritas data, serta
operasi perusahaan dapat be rjalan secara efektif dan efisien untuk memenuhi tujuan perusahaan.
IT audit dapat dilakukan secara gabungan antara audit atas laporan keuangan dan audit internal.
Saat ini, IT audit juga dikenal dengan sebutan Electronic Data Processing audit (EDP audit).
Secara garis besar, tujuan IT audit adalah:
1. Availability
Yaitu ketersediaan informasi, apakah sistem informasi pada perusahaan dapatmenjamin
ketersediaan informasi dapat dengan mudah tersedia setiap saat.
2. Confidentiality
Yaitu kerahasiaan informasi, apakah informasi yang dihasilkan oleh sisteminformasi perusahaan
hanya dapat diakses oleh pihak -pihak yang berhak danmemiliki otorisasi.

3. Integrity
Yaitu apakah informasi yang tersedia akurat, handal, dan tepat waktu.
IT audit memliki fokus pada pengidentifikasian resiko yang terkait pada aset informasi
perusahaan dan menentukan pengendalian yang tepat untuk mengurangi (bukanmenghilangkan
sepenuhnya) resiko tersebutSedangkan dalam bukunya, Mulen menjelaskan peran internal
auditor dalam proses IT audit mencakup 4 bidang utama yaitu:
1. Membantu staf audit finansial
2. Mengaudit bidang -bidang lingkungan pengolahan data
3. Mengaudit program -program sistem aplikasi komputer
4. Mereview pengembangan sistem
Karena fokus IT audit adalah pada penentuan resiko beserta pengendaliannya, tentu saja internal
audit juga berperan dalam mengidentifikasi resiko-resiko yang ada beserta pengendalian yang
relevan untuk meminimalisasikan resiko -resiko tersebut.
Enam komponen Audit TI :
1. pendefinisian tujuan perusahaan;
2. penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI;
3. review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan
prioritasnya, staffing levels, belanja TI dan IT change process management;
4. assessment infrastruktur teknologi, assessment aplikasi bisnis;
5. temuan-temuan,
6. laporan rekomendasi.
Sedang subyek yang perlu diaudit mencakup :
1. aspek keamanan,
Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda
cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT.
2. keandalan,
Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical
applications dan prosedur penyimpanan data di file server, bukan di drive lokal C.
3. kinerja
Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai
dengan beban kerja.
4. manageability.
manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan
berkesinambungan
Pengorganisasian bagian TI juga ditetapkan dalam audit assessment. Ini terbagi atas IT
management, IT support dan IT staffing. Untuk pertama kalinya diperkenalkan visi jangka
panjang mengenai IT management yang merujuk pada tujuan bisnis perusahaan. Ini didukung
visi business support yang jelas dan orientasinya dipersiapkan untuk penerapan ERP (enterprise
resource planning) sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap
karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam mendukung dan
memecahkan masalah yang muncul.

Audit itu harus dilakukan terhadap :

1. sistem informasi secara keseluruhan
2. perangkat TI yang digunakan
3. software, hardware, jaringan saja
4. aspek yang terlibat dan relevan dalam sistem informasi.

Keamanan sistem informasi, beberapa prinsip non teknis yang harus dipegang.
1. prinsip multidisipliner (multidisciplinary principle), yang menegaskan bahwa segala macam
pengukuran, praktik, dan prosedur keamanan sistem informasi harus juga meladeni segala
pertimbangan dan sudut pandang berbagai disiplin yang relevan, termasuk aspek sosial budaya,
hukum dan politik.
2. prinsip demokrasi (democracy principle), yang menegaskan bahwa keamanan sistem informasi
perlu mempertimbangkan hak-hak pengguna dan pihak-pihak lain yang dipengaruhi oleh sistem.

Metodologi Audit Teknologi Informasi:

Fase 1 : Merencanakan Audit
Fase 2 : Mengidentifikasikan risiko dan kendali
Fase 3 : Mengevaluasi kendali dan mengumpulkan bukti-bukti
Fase 4 : Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditee
Fase 5 : Laporan akhir dan mempresentasikan hasil-hasil

Lembar Kerja IT Audit

Lembar kerja audit adalah semua berkas-berkas yang di kumpulkan oleh auditor dalam
menjalankan pemeriksaan,yang berasal :
1. Dari pihak client
2. Dari analisa yang di buat oleh auditor
3. Dari pihak ke tiga

Fungsi lembar kerja :

• menyediakan penunjang utama bagi laporan audit
• membantu auditor dalam melaksanakan dan mensupervisi audit
• menjadi bukti bahwa audit telah di laksanakan sesuai dengan standar auditing

hasil akhir audit adalah berupa laporan yang berisi:

* ruang lingkup audit.
* Metodologi
* Temuan-temuan.
* Ketidaksesuaian
* kesimpulan

Susunan lembar kerja:

1. Draft laporan audit (audit report)
2. laporan keuangan auditan
3. ringkasan informasi bagi reviewer
4. program audit
5. laporan keuangan atau lembar kerja yang dibuat oleh klien.
6. Ringkasan jurnal adjustment
7. working trial balance
8. skedul utama
9. skedul pendukung.

IT FORENSIC
Beberapa definisi IT Forensics.
1. Definisi sederhana, yaitu penggunaan sekumpulan prosedur untuk melakukan pengujian secara
menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara
barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan
data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik
analisisnya untuk menentukan bukti-bukti hukum yang mungkin.

Tujuan IT Forensics.
Adalah untuk mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui
survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51%
responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial
akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan
pelanggaran hukum.

Terminologi IT Forensics.
A. Bukti digital (digital evidence).
adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail.
B. Empat elemen kunci forensik dalam teknologi informasi, antara lain :
1. Identifikasi dari bukti digital.
Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan
identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya
untuk mempermudah tahapan selanjutnya.
2. Penyimpanan bukti digital.
Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena
penyimpanannya yang kurang baik.
3. Analisa bukti digital.
Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian penting dalam
analisa bukti digital.
4. Presentasi bukti digital.
Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi disini
berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan.

Investigasi kasus teknologi informasi.

1. Prosedur forensik yang umum digunakan, antara lain :
a. Membuat copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada suatu
media yang terpisah.
b. Membuat copies secara matematis.
c. Dokumentasi yang baik dari segala sesuatu yang dikerjakan.
2. Bukti yang digunakan dalam IT Forensics berupa :
a. Harddisk.
b. Floopy disk atau media lain yang bersifat removeable.
c. Network system.
3. Beberapa metode yang umum digunakan untuk forensik pada komputer ada dua yaitu :
a. Search dan seizure.
Dimulai dari perumusan suatu rencana.
b. Pencarian informasi (discovery information).
Metode pencarian informasi yang dilakukan oleh investigator merupakn pencarian bukti
tambahan dengan mengandalkan saksi baik secara langsung maupun tidak langsung terlibat
dengan kasus ini.

Tools
Hardware:
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/ )
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (dtsearch http://www.dtsearch.com/ )
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits
● Unix/Linux: TCT The Coroners Toolkit/ForensiX
● Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com ) untuk memproteksi bukti-
bukti

Sumber :
1. http://irmarr.staff.gunadarma.ac.id/Downloads/files/11616/IT+Forensics.doc
2. http://www.scribd.com/doc/6177708/Enam-Komponen-Audit-TI
3. http://www.scribd.com/doc/45738038/Proyek-It-Audit
4. http://arizkaseptiani.wordpress.com/2011/03/20/audit-it-forensik/
5. http://gembel-it.blogspot.com/2011/03/it-audit-dan-it-forensik.html

Posted by - mpreth - at 11:36:00

Labels:dwipoetra tugas

http://highpecundang.blogspot.com/2011/03/it-audit-dan-it-forensic.html

http://blogkublogku.blogspot.com/2011/03/it-audit-dan-forensik.html

http://www.setiabudi.name/archives/15
Posted by Mujiono Sadikin in SI - Audit, Untuk Anak - anakku, Yang Aku Pelajari, Yang Aku Pikirkan.
trackback

Rate This

Tugas Auditor Sistem Informasi (Auditor SI/IS Auditor) secara ringkas adalah memeriksa
apakah suatu proses terkait Sistem Informasi dalam suatu organisasi telah dilaksanakan
sebagaimana mestinya sesuai dengan alat kendali yang ditetapkan/harus dianut oleh suatu
organisasi. Oleh karena itu, Auditor dituntut untuk memahami alat kendali maupun pelaksanaan
suatu proses. Alat kendali dan proses ini berbeda – beda dari satu Negara dengan Negara lain,
dari satu organisasi maupun organisasi yang lain. ISACA memberikan bekal pemahaman itu
kepada Auditor berdasarkan “best practice” yang umum berlaku baik di Amerika maupun di
Negara – Negara yang lain.

Dengan demikian maka, sebaiknya Auditor SI memahami IT Governance (Tata Kelola IT) yang
merupakan bagian dari Corporate Governance(CG) yang merepresentasikan bagaimana
penerapan TI dalam suatu Enterprise (organisasi).Ada beberapa definisi mengenai CG, namun
secara ringkas dapat dicuplik dari definisi Sir Adrian Cadbury yang menyatakan CG adalah suatu
system yang dengannya suatu korporasi diarahkan dan dikendalikan. Mengikuti CG, maka IT G
kurang lebih adalah suatu system yang dengannya TI dalam suatu organisasi diarahkan dan
dikenalikan.

Sebegai suatu system, fokus IT G kurang lebih pada :

Strategic Aligment : Strategi dan perencanaan IT harus inline dan sinergi dengan strategi dan
arah perusahaan (korporasi)

Value Delivery : Penerapan IT harus memberikan nilai seperti yang direncanakan, cost yang
dikeluarkan sesuai dengan nilai / benefit yang didapatkan

Risk Management : Adanya kepedulian risiko – risiko yang mungkin timbul dari manajemen
level atas, pengertian yang jelas mengenai tingkat risiko yang dapat diterima, pengertian akan
kebutuhan-2 terhadap kepatuhan, transparansi mengenari risiko – risiko bagi seluruh enterprise
serta pendelegasian wewenang dan tanggung jawab penanganan risiko bagi pihak – pihak dalam
organisasi

Resource Managamnet : optimalisasi sumber daya IT dalam organisasi termasuk infrastruktur,

aplikasi, personal, dll.

Performance Management : bagaimana mengendalikan dan mengawasi pelaksanaan strategy,

penyelesain proyek, penggunaan sumber daya, performansi proses dan penyediaan layanan
dengan menggunakan alat kendali yang sesuai standard (misalnya Balanca Score Card).

IT Governance Framework
Beberapa kerangka kerja yang biasanya diacu untuk pelaksanaan IT G dalam tataran praktis
antara lain :

-       CobiT : Control Obyektif for Information and related Technology, yang disusun oleh ITGI

-       ISO/IEC 27001 yang pertama kali dipublikasikan di UK sebagai British Standard 7799 (BS
7799)

-       IT Infrastructur Library (ITIL) yang disusun oleh UK Office of Government Commerce dan
IT Services Management Forum

-       IT Baseline Protection Catalogs (IT-Grandschutz Catalogs) oleh German Federal Office for
Security in Information Technology.

-       Information Security Management Maturity Model (ISM3)

-       AS80152005 merupakan standard dari pemerintah Australia untuk Corporate governance
dalam TIK

Dari berbagai uraian mengenai CG dan IT G dapat diringkas bahwa ITG paling tidak harus
mengandung unsur – unsur :strategi, kebijakan, program serta tujuan yang ingin dicapai haris
inline dengan strategi corporate, pengelolaan risiko, perencanaan dan pengelolaan sumber daya,
pelaksanaan dan operasionalisasi, serta pengendalian dan pengawasan kinerja semua aspek IT.

Strategi, kebijakan, program dan tujuan harus menjadi tanggung jawab dan perhatian manajemen
tingkat atas, bukan hanya sebatas personal – personal TI. Diperlukan suatu IT Strategi
Committee yang beranggotakan top manajemen dan lintas departemen. Kebijakan, program dan
tujuan harus secara formal ditetapkan dan dikomentasikan. Juga harus disosialisaskan ke seluruh
tingkatan dalam suatu organisasi.

Tujuan dari pengelolaan risiko adalah mengamanakan segala asset TIK dari ancaman ancaman
yang mungkin timbul sehingga kehilangan (asset, informasi, uang) dapat dihindari atau ditekan
seminimal mungkin. Inti dari pengelolaan risiko adalah mengamankan asset/informasi/sumber
daya informasi yang lain. Oleh karena itu diperlukan strategi dan pengelolaan keamanan
Informasi (Information Security Governance). Agar akibat dari risiko yang mungkin timbul
dapat ditekan seminimal mungkin maka diperlukan strategi dan perencanaan pengelolaan risiko
sejak dini. Penanganan risiko dimulai dari identifikasi risiko, menganalisa risko dan
mengukurnya, kemudian mengelolanya dengan menerapkan alat kendali risiko, serta memonitor
pelaksanaan alat kendali tersebut.  

Perencanaan dan pengelolaan sumber daya mencakup antara lain meencakup pemahaman
mengenai perencaanaan system informasi secara keseluruhan, misalnya dengan menggunakan
pendekatan Enterprise Architecture. Beberapa pendekatan EA ini dalam praktisnya antara lain
model Zachman Framework atau TOGAF.Pengelolaan sumber daya informasi mencakup
bagaimana merencanakan dan mengakuisisi (purchase) h/w, s/w atau infrastruktur yang lain.
Di dalam pelaksanaan dan operasionalisasi terdapat hal – hal pemilihan supplier atau source /
sumber layanan/produk. Tentu saja termasuk di dalamnya adalan pengelolaan sumber daya
manusai internal mulai dari rekruitmen sampai dengan terminasi. Termasuk dalam
operasionalisasi adalah bagaimana organisasi mengatur dan membagi tugas, hak akses dan
tanggung jawab personel sesuai dengan aturan keamanan yang ditetapkan, pembagian beban
yang adil, maupun penghindaran penumpukan tanggungjawab pada bagian tertentu maupun
penghindaran konflik kepentingan akibat pembagian peran yang tidak sesuai. Jika perusahaan
memerlukan layanan pihak ke 2 (outsource) maka peraturan dan kaidah-kaidah outsource juga
menjadi fokus perhatian auditor.

Pengawasan dan pengukuran kinerja dapat dilakukan dengan menggunakan parameter –

parameter yang berlaku dalam “best practice” yang sudah menjadi standard, misalnya Balance
Scor Card, CMM atau ISO.

http://moedjionosadikin.wordpress.com/2010/03/21/it-governance-tata-kelola-ti/

Perlindungan aset – asset informasi Mei 4, 2010

Posted by Mujiono Sadikin in SI - Audit, Yang Aku Pelajari, Yang Aku Pikirkan.
add a comment

Permasalahan selanjutnya yang harus dipahami dalam hal AUDIT SI menurut standard dari
CISA adalah Perlindungan terhadap asset informasi. Dalam suatu organisasi, daur hidup sistem
informasi yang selayaknya – menurut berst practice –adalah : perencanaan,
pembangunan/pengadaan, operasionalisasi dan penyediaan/dukungan layanan terhadap
organisasi, dan disposal (pemusnahan). Maka perlindungan asset informasi ini selaknya
dilakukan/mencakup dalam tiap tahap dalam daur hidup tersebut.

Perlindungan terhadap asset – asset informasi dilakukan untuk memastikan bahwa

Confidentiality, Integrity dan Availability (CIA) dari asset informasi selalu terjaga. Bagian ini
menjelaskan bagaimana mengevaluasi perencanaan, implementasi dan pemantauan alat kendali
untuk mengakses asset informasi baik secara lojik maupun fisik dalam rangka memastikan CIA.
Bagian ini juga menjelaskan bagaimana mengevaluasi control environment (alat kendali
lingkungan yang terkait), pengamanan infrastruktur jaringan, proses dan prosedur yang
digunakan dalam penyimpanan, pengambilan kembali (retrieval), pemindahan, maupun
pemusnahan asset informasi yang bersifat rahasia.

Dengan demikian pada bagian ini pembahasan menyangkut sangat banyak elemen dan unsur
yang terkait dengan perlindungan asset. Di antara elemen – elemen tersebut yang harus dipahami
antara lain :

 Metoda dan teknik untuk perencanaan, implementasi dan pemantauan kemanan (security).
Termasuk di dalamnya adalah pengetahuan mengenai assessment terhadap ancaman dan risiko,
analias sensifitas, assessment terhadap dampak privasi
 Alat kendali akses secara lojik untuk melakukan identifikasi, autentifikasi dan pembatasan
pengguna atas fungsi – fungsi dan data. Pengetahuan mengenai ini di antaranya adalah dynamic
password, change/response, struktur menu yang diijinkan, profile pengguna, dll.
  Pengetahuan akan arsitektur keamanan akses lojik seperti single sign on, strategi identifikasi
pengguna, pengelolaan identitas pengguna
 Pengetahuan akan berbagai metoda dan teknik serangan terhadap asset informasi. Beberapa di
antaranya antara lain hacking, spoofing, trojan horse, DoS, Spamming, Social Engineering, War
Driving, War Chalking, Masquariding, Piggybacking, phishing, dll.
 Pemahaman akan proses yang terkait dengan pemantauan dan respon terhadap security
incident. Termasuk pembahasan dalam bagian ini adalah prosedur eskalasi jika ada kejadian
yang membahayakan, pengelolaan response atas kejadian seperti pembentukan emergency
response team, prosedur serta tanggung jawab masing – masing anggota dalam team
 Aditor juga dituntut untuk mengetahui dan memahami keamanan peralatan jaringan dan
internet, protocol komunikasi data, teknik – teknik pengamanan seperti SSK, SET, VPN maupun
NAT.
 Pengetahuan dan pemahaman akan pencegahan kejadian membahayakan, pendeteksian
kejadian yang membahayakan, dan perbaikan  setelah ada kejadian yang membahayakan.
Auditor dalam hal ini perlu memahami fungsi dan peran peralatan – peralatan seperti firewall,
intrusion detection system, intrusion prevention system. Tidak hanya pemahaman terhadap
fungsi, pemahaman terhadap konfigurasi, operasi dan pemeliharaan juga diperlukan.
 Pemahaman akan metoda dan teknik – teknik untuk menjaga kerahasiaan (confidentiality),
keaslian (integrity), keabsahan (non repudiation) informasi maupun data baik pada saat
disimpan, dipindahkan maupun dimusnahkan. Maka metoda dan teknik mengenai enkripsi,
dekripsi, PKI (sertifikasi, registrasi ) maupun digital signature harus pula dipahami.
 Pengetahuan dan pemahaman pendeteksian dan pengendalian terhadap virus, worm, spyware,
malware, Trojan horse, logic bomb, trap doors, dll.
 Pengetahuan akan teknik – teknik pengujian terhadap keamanan asset seperti teknik
penetration testing, vulnerability scanning.
 Pengetahuan dan pemahaman terhadap aspek – aspek keamanan lingkungan seperti pemadam
kebakaran, sistem pendingin, sensor asap, sensor air, dll.
 Pengetahuan dan pemahaman terhadap metoda dan teknik pengamanan secara fisik seperti
access card/kartu akses, biometric, chipper lock, token
 Pengetahuan dan pemahaman terhadap metoda dan teknik klasifikasi asset : public, rahasia,
privat, asset kritis, asset sensitive, asset vital
 Pengetahuan akan keamanan komunikasi suara seperti VoIP.
 Pengetahuan akan proses dan prosedur yang digunakan dalam menyimpan, mengambil kembali,
memindahkan maupun memusnahkan aset – aset informasi yang bersifat rahasia.
 Pengetahuan dan pemahaman tentang risiko dan alat pengendalian terkait dengan penggunaan
peralatan portabel dan peralatan nirkabel (PDA, USB, Bluetooth,…)

Penyediaan Layanan dan dukungan Teknologi Informasi (IT Services Delivery

& Support/IT SDS) April 25, 2010
Posted by Mujiono Sadikin in SI - Audit, Yang Aku Pelajari, Yang Aku Pikirkan, Yang Kami Kerjakan.
add a comment

Obyektif dari pembahasan bagian ini adalah pemahaman tentang kualitas minimum layanan dan
dukungan yang selayaknya diberikan oleh TI organisasi sehingga mampu mendukung obyektif
organisasi secara keseluruhan.

Tugas Tugas Auditor SI pada area ini adalah :

1. Evaluasi terhadap praktek pengelolaan dan penyediaan layanan untuk memastikan bahwa
tingkat layanan yang disediakan oleh pihak internal maupun eksternal didefinisikan dan dikelola
dengan baik.

2. Evaluasi terhadap pengelolaan operasi untuk memastikan bahwa dukungan TI sesuai dengan
kebutuhan bisnis secara efisien

3. Evaluasi terhadap adminstrasi data untuk memastikan integritas dan optimasi data.

4. Evaluasi terhadap peralatan serta teknik pemantauan penggunaan dan performansi untuk
memastikan layanan TI sesuai dengan obyektif organisasi.

5. Evaluasi terhadap praktik – praktik pengelolaan pengubahan, konfigurasi dan release yang
telah dibuat ke lingkungan produksi telah secara cukup dikendalikan dan didokumentasikan

6. Evaluasi terhadap praktik pengelolaan dan penanganan jika terjadi masalah maupun kejadian
yang tidak diinginkan untuk memastikan bahwa masalah, kesalahan dan kejadian yang tidak
dikehandaki tersevut dicatat, dianalisa dan diselesaikan sesuai dengan standard waktu yang telah
ditetapkan.

7. Evaluasi terhadap fungsionalitas infrastruktur TI (komponen jaringan, perangkat keras,

perangkat lunak sistem) untuk menjamin bahwa semuanya mendukung obyektif organisasi.

Pengetahuan dan Keahlian Pengetahuan dan keahlian dalam lingkup IT SDS ini adalah :

1. Pengetahuan terhadap praktik – praktik pengelolaan tingkat layanan pada organisasi

2. Pengetahuan terhadap praktik – praktek pengelolaan operasi (penjadwalan pekerjaan,

pengelolaan layanan jaringan, pengelolaan pencegahan risiko)

3. Pengetahuan akan peralatan dan teknik pemantauan performansi (network analyzer, system
utilitation reports, switches, firewall, dan peripheral lainnya)

4. Pengetahuan fungsionalitas perakngkat keras dan komponen jaringan (router, switch, firewall,
bridges, dll)

5. Pengetahuan praktik pengelalaan dan pengadministrasioan basis data

6. Pengetahuan fungsionalitas perangkat lunak sistem sperti sistem operasi, dbms dan utilitasnya

7. Pengetahuan teknik pemantauan terhadap perencanaan kapasitas

8. Pengetahuan terhadpa proses pengelolaan penjadwalan dan perubahan darurat dari lingkungan
pengembangan ke lingkungan prioduksi termasuk pengubahan, konfigurasi, reales, patch
9. Pengetahuan praktek pengelolaan masalah/incident (help desk, prsodur eskalasi masalah dan
pelacakannya)

10. Pengetahuan lisesnsi dan inventory

11. Pengetahuan akan peralatan dan teknik – teknik kekenyalan (resilency) sistem (fault tolerant,
clustering)

Systems & Infrastructures Lifecycle Managament  (SILM) April 8, 2010

Posted by Mujiono Sadikin in SI - Audit.
add a comment

Setelah menguasai proses audit Sistem Informasi (Audit SI/IS Audit), memahami Tata Kelola TI,
berikutnya ISACA memberikan panduan pemahaman terhadap proses – proses utama serta
metodologi yang – biasa – digunakan oleh suatu organisasi dalam membuat maupun melakukan
perubahan terhadap sistem dan infrastruktur mereka.

Tugas

Terkait dengan SILM ini, daftar berikut adalah tugas – tugas yang umumnya dilakukan oleh
Auditor Sistem Informasi. Urutan tugas ini secara kronologis sesuai dengan pengelolaan sistem
dan infrastruktur, mulai dari perisapan sampai dengan pengawasan atas kesesuaian sistem dan
infrastruktur yang diimplementasikan dengan strategi dan tujuan (bisnis maupun layanan) suatu
organisasi.

1. Tahap persiapan, evaluasi dan pemeriksaan business case terhadap usulan pembangunan atau
akuisisi sistem/infrastruktur. Evaluasi ini bertujuan bahwa proposal pembangunan/ akuisisi
sesuai dengan tujuan – tujuan (bisnis atau layanan) suatu organisasi.

2. Evaluasi terhadap kerangka kerja proyek dan pengelolaan proyek dalam praktek
pembangunan/ akuisisi, untuk memastikan bahwa tujuan (bisnis/layanan) tercapai dengan biaya
yang masuk akal dan tetap memperhatikan pengelolaan risiko yang dapat diterima dalam suatu
organisasi.

3. Review pengelolaan proyek, untuk memastikan bahwa kemajuan proyek dari waktu maupun
resource tidak menyimpan dari perencanaan proyek. Dalam pelaksanaanya proses review ini
harus didukung oleh dokumentasi yang cukup dan akurat baik berupa laporan maupun status.
4. Evaluasi terhadap mekanisme pengendalian SILM untuk tiap tahapan, baik mulai dari
penyusunan kebutuhan, pembangunan/akuisisi, dan uji coba. Untuk memastikan bahwa
semuanya berjalan dalam koridor yang aman (tanpa risiko atau dengan tingkat risiko yang dapat
diterima) serta patuh terhadap kebijakan – kebijakan organisasi maupun kebutuhan – kebutuhan
lainnya.

5. Evaluasi terhadap proses pembangunan/akuisisi dan ujicoba sistem atau infrastruktur, untuk
memastikan bahwa hasil pekerjaan (deliverable) sesuai dengan kebutuhan – kebutuhan
organisasi.
6. Evaluasi terhadap kesiapan sistem/infrastruktur untuk implementasi dan migrasi dari proses
pembangunan/akuisisi ke tahap produksi.

7. Melakukan review paska implementasi terhadap terhadap sistem/infrastruktur untuk

memastikan bahwa kesemuanya sesuai dengan tujuan organisasi, dengan pengendalian internal
yang efektif.

8. Melakukan review secara periodic terhadap operasi sistem/infrastruktur untuk memastikan

bahwa semuanya secara kontinyu sesuai dengan tujuan organisasi, dengan pengendalian internal
yang efektif.

9. Melakukan review secara periodic terhadap proses pemeliharaan dan perawatan

sistem/infrastruktur untuk memastikan bahwa semuanya secara kontinyu mampu mendukung
usaha pencapaian tujuan organisasi, dengan pengendalian internal yang efektif.

10. Melakukan review terhadap proses pemusnahan sistem/infrastruktur untuk memastikan

bahwa semuanya patuh terhadap kebijakan organisasi serta prosedur yang telah ditetapkan.

Pengetahuan dan Keahlian

Untuk melaksankan masing – masing tugas itu, auditor SI harus melengkapi diri dengan
pengetahuan dan pemahaman proses daur hidup Sistem dan Infrastruktur mulai dari persiapan,
pelaksanaan, implementai, operasi, pemeliharaan sampai dengan “pemusnahan”nya. Bekal
pengetahuan yang harus dikuasi oleh auditor SI adalah : Benefits Management Case; mekanisme
tata kelola proyek; praktek pengelolaan proyek, kerangka kerja, peralatan dan Kendali kerja;
praktek pengelolaan risiko yang diterapkan pada proyek; criteria keberhasilan dan risiko proyek;
configuration, change and relase management dalam keterkaitannya dengan pengembangan dan
pemeliharaan sistem/infrastruktur; obyektif alat kendail dan teknik – teknik pengendalian untuk
memastikan kelengkapan, akurasi, validitas dan otoritas transaksi dan data dalam aplikasi sistem
TI; Enterprise Architecture terkait data, aplikasi, teknologi;praktek – praktek pengelolaan dan
analisa kebutuhan seperti verifikasi kebutuhan, ketelusuran, analisa kesenjangan;proses
pengelolaan kontrak dan akuisisi seperti evaluasi dan pemilihan vendor, persiapan kontrak,
pengelolaan vendor, escrow account;metodologi pengembangan sistem, peralatan yang
digunakan, serta pengetahuan akan kekuatan dan kelemahan masing – masing metode dan
peralatan tersebut;metode – metode penjaminan kualitas;pengelolaan proses uji coba seperti
strategies testing, test plans, test environments dan exit criteria;peralatan data konversi, teknik
dan prosedur konversi;prosedur pemusnahan sistem/infrastruktur;praktek – praktek akreditasi
dan sertifikasi S/W maupun H/W;obyektif dan metodologi dari review paska implementasi
sistem/infrastruktur seperti penyelesaian proyek, realisasi benefit, dan pengukuran
performansi;praktik – praktik migrasi sistem dan deployment infrastruktur.

IT Governance (Tata Kelola TI) Maret 21, 2010

Posted by Mujiono Sadikin in SI - Audit, Untuk Anak - anakku, Yang Aku Pelajari, Yang Aku Pikirkan.
add a comment
Tugas Auditor Sistem Informasi (Auditor SI/IS Auditor) secara ringkas adalah memeriksa
apakah suatu proses terkait Sistem Informasi dalam suatu organisasi telah dilaksanakan
sebagaimana mestinya sesuai dengan alat kendali yang ditetapkan/harus dianut oleh suatu
organisasi. Oleh karena itu, Auditor dituntut untuk memahami alat kendali maupun pelaksanaan
suatu proses. Alat kendali dan proses ini berbeda – beda dari satu Negara dengan Negara lain,
dari satu organisasi maupun organisasi yang lain. ISACA memberikan bekal pemahaman itu
kepada Auditor berdasarkan “best practice” yang umum berlaku baik di Amerika maupun di
Negara – Negara yang lain.

Dengan demikian maka, sebaiknya Auditor SI memahami IT Governance (Tata Kelola IT) yang
merupakan bagian dari Corporate Governance(CG) yang merepresentasikan bagaimana
penerapan TI dalam suatu Enterprise (organisasi).Ada beberapa definisi mengenai CG, namun
secara ringkas dapat dicuplik dari definisi Sir Adrian Cadbury yang menyatakan CG adalah suatu
system yang dengannya suatu korporasi diarahkan dan dikendalikan. Mengikuti CG, maka IT G
kurang lebih adalah suatu system yang dengannya TI dalam suatu organisasi diarahkan dan
dikenalikan.

Sebegai suatu system, fokus IT G kurang lebih pada :

Strategic Aligment : Strategi dan perencanaan IT harus inline dan sinergi dengan strategi dan
arah perusahaan (korporasi)

Value Delivery : Penerapan IT harus memberikan nilai seperti yang direncanakan, cost yang
dikeluarkan sesuai dengan nilai / benefit yang didapatkan

Risk Management : Adanya kepedulian risiko – risiko yang mungkin timbul dari manajemen
level atas, pengertian yang jelas mengenai tingkat risiko yang dapat diterima, pengertian akan
kebutuhan-2 terhadap kepatuhan, transparansi mengenari risiko – risiko bagi seluruh enterprise
serta pendelegasian wewenang dan tanggung jawab penanganan risiko bagi pihak – pihak dalam
organisasi

Resource Managamnet : optimalisasi sumber daya IT dalam organisasi termasuk infrastruktur,

aplikasi, personal, dll.

Performance Management : bagaimana mengendalikan dan mengawasi pelaksanaan strategy,

penyelesain proyek, penggunaan sumber daya, performansi proses dan penyediaan layanan
dengan menggunakan alat kendali yang sesuai standard (misalnya Balanca Score Card).

IT Governance Framework

Beberapa kerangka kerja yang biasanya diacu untuk pelaksanaan IT G dalam tataran praktis
antara lain :

-       CobiT : Control Obyektif for Information and related Technology, yang disusun oleh ITGI
-       ISO/IEC 27001 yang pertama kali dipublikasikan di UK sebagai British Standard 7799 (BS
7799)

-       IT Infrastructur Library (ITIL) yang disusun oleh UK Office of Government Commerce dan
IT Services Management Forum

-       IT Baseline Protection Catalogs (IT-Grandschutz Catalogs) oleh German Federal Office for
Security in Information Technology.

-       Information Security Management Maturity Model (ISM3)

-       AS80152005 merupakan standard dari pemerintah Australia untuk Corporate governance
dalam TIK

Dari berbagai uraian mengenai CG dan IT G dapat diringkas bahwa ITG paling tidak harus
mengandung unsur – unsur :strategi, kebijakan, program serta tujuan yang ingin dicapai haris
inline dengan strategi corporate, pengelolaan risiko, perencanaan dan pengelolaan sumber daya,
pelaksanaan dan operasionalisasi, serta pengendalian dan pengawasan kinerja semua aspek IT.

Strategi, kebijakan, program dan tujuan harus menjadi tanggung jawab dan perhatian manajemen
tingkat atas, bukan hanya sebatas personal – personal TI. Diperlukan suatu IT Strategi
Committee yang beranggotakan top manajemen dan lintas departemen. Kebijakan, program dan
tujuan harus secara formal ditetapkan dan dikomentasikan. Juga harus disosialisaskan ke seluruh
tingkatan dalam suatu organisasi.

Tujuan dari pengelolaan risiko adalah mengamanakan segala asset TIK dari ancaman ancaman
yang mungkin timbul sehingga kehilangan (asset, informasi, uang) dapat dihindari atau ditekan
seminimal mungkin. Inti dari pengelolaan risiko adalah mengamankan asset/informasi/sumber
daya informasi yang lain. Oleh karena itu diperlukan strategi dan pengelolaan keamanan
Informasi (Information Security Governance). Agar akibat dari risiko yang mungkin timbul
dapat ditekan seminimal mungkin maka diperlukan strategi dan perencanaan pengelolaan risiko
sejak dini. Penanganan risiko dimulai dari identifikasi risiko, menganalisa risko dan
mengukurnya, kemudian mengelolanya dengan menerapkan alat kendali risiko, serta memonitor
pelaksanaan alat kendali tersebut.  

Perencanaan dan pengelolaan sumber daya mencakup antara lain meencakup pemahaman
mengenai perencaanaan system informasi secara keseluruhan, misalnya dengan menggunakan
pendekatan Enterprise Architecture. Beberapa pendekatan EA ini dalam praktisnya antara lain
model Zachman Framework atau TOGAF.Pengelolaan sumber daya informasi mencakup
bagaimana merencanakan dan mengakuisisi (purchase) h/w, s/w atau infrastruktur yang lain.

Di dalam pelaksanaan dan operasionalisasi terdapat hal – hal pemilihan supplier atau source /
sumber layanan/produk. Tentu saja termasuk di dalamnya adalan pengelolaan sumber daya
manusai internal mulai dari rekruitmen sampai dengan terminasi. Termasuk dalam
operasionalisasi adalah bagaimana organisasi mengatur dan membagi tugas, hak akses dan
tanggung jawab personel sesuai dengan aturan keamanan yang ditetapkan, pembagian beban
yang adil, maupun penghindaran penumpukan tanggungjawab pada bagian tertentu maupun
penghindaran konflik kepentingan akibat pembagian peran yang tidak sesuai. Jika perusahaan
memerlukan layanan pihak ke 2 (outsource) maka peraturan dan kaidah-kaidah outsource juga
menjadi fokus perhatian auditor.

Pengawasan dan pengukuran kinerja dapat dilakukan dengan menggunakan parameter –

parameter yang berlaku dalam “best practice” yang sudah menjadi standard, misalnya Balance
Scor Card, CMM atau ISO.

Proses Audit [1] Maret 15, 2010

Posted by Mujiono Sadikin in SI - Audit.
add a comment

Menulis Untuk Belajar

Karena merasa sudah kehilangan “hard skill” saya di bidan TI sebagai latar belakang
pendidikan saya, maka per minggu kemarin saya mengambil kursus IS-Audit / Information
System Audit CISA Review di PUSILKOM UI. Sudah terlalu lama tidak “belajar keras”
membuat saya kesulitan menyerap ilmu. Oleh karena itu saya perlu cara baru untuk belajar.
Menulis, itulah cara belajar yang saya anggap efektiv. Jadi saya menulis IS Audit ini bukan
karena bisa, tetapi karena masih dalam taraf belajar. Dengan demikian menulis ini adalah
sarana belajar saya.

Jika dilihat dari akar katanya, Audit berarti evaluasi/pemeriksaan. Makna audit menurut
Wikipedia adalah suatu proses evaluasi terhadap orang, organisasi, sistem, proses, korporasi,
proyek ataupun produk. Audit Sistem Informasi (IS Audit) dengan demikian adalah proses
evaluasi terhadap sistem informasi pada suatu organisasi. Selanjutnya dalam tulisan – tulisan
pada kategori IS Audit ini, pengertian audit tentu saja mengacu pada Audit Sistem Informasi
pada suatu organisasi.

Program Audit

Terminologi yang digunakan untuk menjelaskan strategi dan rencana audit. Di dalamnya
termasuk ruang lingkup, obyektif/tujuan, sumber daya yang, serta prosedur yang digunakan
untuk mengevaluasi sekumpulan alat kandali dan akan menghasilkan opini audit.

Tujuan Audit

Masing – masing audit biasanya mempunyai tujuan yang spesifik. Namun secara umum tujuan
dari audit adalah untuk mengetahui sejauh mana alat kendali yang ada dapat secara efektif
mengendalikan operasi (bisnis, pemerintahan, dll) dalam suatu organisasi.

Alat Kendali (Set of Controls)

Dengan demikian, maka perlu dipahami yang dimaksud dengan alat kendali. Dalam terminologi
audit alat kendali lebih spesifik mengacu kepada alat kendali internal suatu organisasi. Alat
kendali internal adalah kebijakan, prosedur, mekanisme, sistem, atau ukuran – ukuran lain yang
dirancang untuk meminimalkan risiko bisnis/organisasi. Suatu organisasi/badan
mengimplementasikan alat kendali agar tujuan bisnis tercapai, risiko dapat direduksi, dan
kesalahan – kesahalan dapat dihindari atau dikoreksi jika terjadi.

Alat kendali digunakan : 1. Untuk mencapai suatu keadaan yang diinginkan, dan 2. Menghindari
keadaan yang tidak diinginkan.

Sebagai contoh alat kendali misalnya, terkait Teknologi Informasi di dunia perbankan Indonesia,
BI telah menetapkan kebijakan berupa Peraturan Bank Indonesia, Nomor: 9/15/Pbi/2007,
Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank
Umum. Peraturan ini berisi ketentuan – ketentuan yang harus dilakukan oleh organisasi
Perbankan Umum terkait Kebijakan dan Implementasi Teknologi Informasi di lingkungan
Perbankan. Mengacu pada peraturan ini, maka salah satu tujuan dari Audit SI di lingkungan
Perbankan, misalnya, memeriksa apakah peraturan tersebut ada dan dipatuhi.

Dimensi Alat Kendali

Secara grafis klasifikasi alat kendali dapat dilihat seperti gambar di bawah :

Dimensi Alat Kendali

Tipe – tipe alat kendali

Phyisical

Alat kendali yang dapat diamati secara fisik (tangible) seperti video, lock, akses card, dll

Technical

Dalam terminologi Sistem Informasi ini adalah alat kendali yang tidak dapat diamati secara fisik
(intangible) enkripsi, password, logs, dll

Administrative
Adalah kebijakan atau prosedur yang menghendaki atau melarang suatu aktivitas tertentu.
Misalnya peraturan perusahaan yang melarang karyawan untuk mengakses informasi/data
payroll selain bagian accounting.

Kelas – kelas alat kendali

Preventive

Alat kendali yang mencegah/menghindari suatu kejadian. Misalnya screen saver dan auto log off
pada pada PC/note book. Enkripsi file yang mencegah kejadian terbacanya informasi file oleh
pihak yang tidak berwenang/berhak

Detective

Alat kendali yang digunakan untuk mencatat kejadian – kejadian baik yang dikehendaki maupun
yang tidak dikehendaki. Alat kendali ini misalnya audit logs, video kamera, dll.

Detterent

Alat kendali yang digunakan untuk mencegah pihak – pihak tertentu melakukan hal – hal yang
tidak diinginkan. Masuk dalam alat kendali ini misalnya : anjing penjaga, tanda peringatan, video
kamera dan monitornya.

Corrective

Alat kendali yang digunakan untuk memperbaiki akibat terjadinya keadaan yang tidak dinginkan,
alat kendali ini digunakan setelah keadaan tersebut terjadi. Misalnya perbaikan proses pada
proses – proses yang tidak dapat berjalan secara efektiv

Compensating

Alat kendali yang digunakan karena alat kendali lain tidak berjalan sebagaimana mestinya.
Misalnya kamera video yang tidak berjalan digantikan dengan akses card.

Recovery

Alat kendali yang digunakan untuk mengembalikan keadaan setelah terjadi suatu kecelakaan
pada sistem atau aset. Misalnya restore basis data, pembersihan virus, dll

(Bersambung….)

Sumber :

1. Modul CISA – Course Review 2010 PUSILKOM – UI / ISACA

2. CISA Certified Information Systems Auditor EXAM GUIDE, 2010
http://moedjionosadikin.wordpress.com/category/si-audit/