Asi Makalah
Asi Makalah
Banyak organisasi sekarang mengakui bahwa data adalah sumber daya kritis yang harus
dikelola dengan benar dan oleh karena itu, perencanaan dan kontrol terpusat diimplementasikan.
Agar data dapat dikelola, pengguna yang lebih baik harus dapat berbagi data, data harus tersedia
bagi pengguna saat dibutuhkan, di lokasi di mana diperlukan, dan dalam bentuk yang
dibutuhkan.
Ancaman Kontrol
.
Intrusi Tanpa Izin Kontrol akses fisik dapat digunakan
Penyalahgunaan perangkat lunak, data, dan Kode etik untuk mengatur tindakan sistem
layanan informasi karyawan.
Manajemen operasi bertanggung jawab untuk menjalankan fasilitas perangkat keras dan
lunak setiap hari. Manajemen operasi kontrol harus terus memantau kinerja platform perangkat
keras / perangkat lunak untuk memastikan bahwa sistem mengeksekusi secara efisien, tike
respons yang dapat diterima atau waktu penyelesaian sedang dicapai, dan tingkat waktu kerja
yang dapat diterima terjadi.
Kontrol sistem aplikasi dilakukan untuk mencapai siklus pemrosesan informasi yang
andal yang melakukan proses di seluruh perusahaan. Aplikasi mewakili antarmuka antara
pengguna dan fungsi bisnis. Sebagai contoh, seorang petugas bagian di sebuah bank diharuskan
untuk melakukan berbagai kegiatan bisnis sebagai bagian dari tugasnya dan tanggung jawab
yang diberikan kepadanya. Dia dapat berhubungan dengan keunggulan teknologi ketika dia dapat
berinteraksi dengan sistem komputer dari perspektif memenuhi tujuan pekerjaannya. Dari sudut
pandang pengguna, itu adalah aplikasi yang mendorong logika bisnis. Kontrol Aplikasi yang
berbeda adalah sebagai berikut:
(i) Kontrol Batas: Kontrol utama sistem batas adalah mekanisme kontrol akses. Mekanisme
kontrol akses menghubungkan pengguna otentik ke sumber daya resmi, mereka diizinkan untuk
mengakses. Mekanisme kontrol akses memiliki tiga langkah identifikasi, otentikasi, dan otorisasi
sehubungan dengan kebijakan kontrol akses yang diterapkan seperti yang ditunjukkan pada
Gambar 3.8.1.
Pengguna dapat memberikan tiga faktor informasi input untuk proses otentikasi dan
mendapatkan akses ke sumber daya yang diperlukan. Tiga faktor informasi sehubungan dengan
input yang sesuai dengan kontrol batas dirangkum dalam Tabel 3.8.1.
• Kriptografi: Ini berkaitan dengan program untuk mengubah data menjadi teks sandi yang
tidak berarti bagi siapa pun, yang tidak memiliki otentikasi untuk mengakses sumber
daya sistem atau file masing-masing. Teknik kriptografi mengenkripsi data (teks jernih)
ke dalam kriptogram (teks sandi) dan kekuatannya tergantung pada waktu dan biaya
untuk menguraikan teks sandi oleh kriptanalis. Tiga teknik kriptografi adalah transposisi
(mengubah urutan karakter dalam satu set data), substitusi (ganti teks dengan teks-kunci)
dan cipher produk (kombinasi transposisi dan substitusi).
Kontrol ini bertanggung jawab untuk memastikan keakuratan dan kelengkapan data dan
input instruksi ke dalam sistem aplikasi. Pengendalian input penting karena waktu yang cukup
banyak dihabiskan untuk input data, melibatkan intervensi manusia dan, karenanya, rawan
kesalahan dan kecurangan. Kontrol yang berkaitan dengan input data sangat penting. Mungkin
perlu untuk memproses kembali data input jika, file master hilang, rusak, atau hancur. Kontrol
yang berkaitan dengan instruksi seringkali berupa perubahan data, yang dicatat dalam jejak audit.
Dengan demikian, dokumen sumber atau daftar transaksi harus disimpan dengan aman untuk
periode yang lebih lama karena alasan - kepatuhan terhadap persyaratan hukum. Kontrol input
dibagi ke dalam kelas luas berikut:
a. Kontrol Dokumen Sumber: Dalam sistem yang menggunakan dokumen sumber fisik untuk
memulai transaksi, kontrol yang cermat harus dilakukan terhadap instrumen-instrumen ini.
Sumber penipuan dokumen dapat digunakan untuk menghapus aset dari organisasi. Misalnya,
seorang individu dengan akses ke pesanan pembelian dan laporan penerimaan dapat mengarang
transaksi pembelian ke pemasok yang tidak ada. Jika dokumen-dokumen ini dimasukkan ke
dalam aliran pemrosesan data bersama dengan faktur vendor fiktif, sistem dapat memproses
dokumen-dokumen ini seolah-olah terjadi transaksi yang sah. Dengan tidak adanya kontrol
kompensasi lain untuk mendeteksi jenis penipuan ini, sistem akan membuat akun dibayarkan dan
selanjutnya menulis cek untuk pembayaran.
Untuk mengendalikan terhadap jenis paparan ini, organisasi harus menerapkan prosedur
kontrol atas dokumen sumber untuk menjelaskan setiap dokumen, seperti dijelaskan di bawah
ini:
• Gunakan dokumen sumber yang diberi nomor terlebih dahulu: Dokumen sumber harus
berasal dari printer dengan nomor urut yang unik pada setiap dokumen. Sumber nomor
dokumen memungkinkan akuntansi penggunaan dokumen yang akurat dan memberikan
jejak audit untuk melacak transaksi melalui catatan akuntansi.
• Gunakan dokumen sumber secara berurutan: Dokumen sumber harus didistribusikan ke
pengguna dan digunakan secara berurutan. Ini membutuhkan keamanan fisik yang
memadai untuk menjaga persediaan dokumen sumber di situs pengguna. Ketika tidak
digunakan, dokumen harus disimpan di bawah kunci dan kunci dan akses ke dokumen
sumber harus dibatasi untuk orang yang berwenang.
• Mengaudit dokumen sumber secara berkala: Dokumen sumber yang hilang harus
diidentifikasi dengan merekonsiliasi nomor urut dokumen. Secara berkala, auditor harus
membandingkan jumlah dokumen yang digunakan sampai saat ini dengan yang tersisa
dalam persediaan ditambah dengan yang dibatalkan karena kesalahan. Dokumen yang
tidak diperhitungkan harus dilaporkan kepada manajemen.
(B) Kontrol Pengodean Data: Dua jenis kesalahan dapat merusak kode data dan menyebabkan
kesalahan pemrosesan. Ini adalah kesalahan transkripsi dan transposisi, yang dibahas di bawah
ini:
a. Kesalahan penambahan terjadi ketika digit atau karakter tambahan ditambahkan ke kode.
Misalnya, nomor item inventaris 83276 dicatat sebagai 832766.
b. Kesalahan pemotongan terjadi ketika digit atau karakter dihapus dari akhir kode. Dalam
jenis kesalahan ini, item persediaan di atas akan dicatat sebagai 8327.
c. Kesalahan penggantian adalah penggantian satu digit dalam kode dengan yang lainnya.
Misalnya, nomor kode 83276 dicatat sebagai 83266.
a. Kesalahan transposisi tunggal terjadi ketika dua digit yang berdekatan dibalik. Misalnya,
12345 dicatat sebagai 21345.
b. Beberapa kesalahan transposisi terjadi ketika digit yang tidak berdekatan dialihkan.
Sebagai contoh, 12345 dicatat sebagai 3.154.
Kesalahan ini dapat menyebabkan masalah serius dalam pemrosesan data jika tidak
terdeteksi. Misalnya, pesanan penjualan untuk pelanggan 987654 yang dialihkan ke 897654
akan diposting ke akun pelanggan yang salah. Kesalahan serupa dalam kode barang inventaris
pada pesanan pembelian dapat mengakibatkan pemesanan inventaris yang tidak dibutuhkan
dan gagal memesan inventaris yang diperlukan. Kesalahan sederhana ini dapat sangat
mengganggu operasi.
(C) Kontrol Batch: Batching adalah proses pengelompokan bersama transaksi yang menanggung
beberapa jenis hubungan kaki lainnya. Berbagai kontrol dapat dilakukan selama batch untuk
mencegah atau mendeteksi kesalahan atau penyimpangan. Dua jenis batch terjadi:
• Kontrol Fisik: Kontrol ini adalah kelompok transaksi yang membentuk unit fisik. Sebagai
contoh - dokumen sumber dapat diperoleh melalui email, dikumpulkan ke dalam batch,
dibubuhi dan diikat bersama, dan kemudian diberikan kepada petugas entri data untuk
dimasukkan ke dalam sistem aplikasi di terminal.
• Kontrol Logis: Ini adalah kelompok transaksi yang diikat bersama berdasarkan beberapa
alasan logis, daripada berdekatan secara fisik. Misalnya - pegawai yang berbeda mungkin
menggunakan terminal yang sama untuk memasukkan transaksi ke dalam sistem aplikasi.
Panitera menjaga total kontrol transaksi ke dalam sistem aplikasi.
Untuk mengidentifikasi kesalahan atau penyimpangan dalam batch fisik atau logis, tiga jenis
total kontrol dapat dihitung seperti yang ditunjukkan pada Tabel 3..8.2.
Dalam hal Kontrol Fisik, total ini dapat ditulis pada lembar sampul batch dan dimasukkan
ke dalam sistem aplikasi sebelum entri kunci transaksi dalam batch. Program input kemudian
menghitung total batch ketika transaksi dimasukkan. Ketika kunci dari semua transaksi dalam
batch telah selesai, itu membandingkan total yang dihitung terhadap total yang dimasukkan dan
menandakan perbedaan.
Dalam hal batch logis, orang yang bertanggung jawab atas data kunci harus menyimpan
catatan transaksi independen yang dimasukkan ke dalam sistem aplikasi. Secara berkala, total
batch yang dihitung oleh program input kemudian harus dibandingkan dengan total batch yang
dihitung berdasarkan catatan independen ini.
(d) Kontrol Validasi: Kontrol validasi input dimaksudkan untuk mendeteksi kesalahan dalam data
transaksi sebelum data diproses. Ada tiga level kontrol validasi input:
• interogasi lapangan,
• Rekam interogasi, dan
• Menginterogasi file.
• Interogasi Lapangan: Ini melibatkan prosedur terprogram yang memeriksa karakter data di
lapangan. Berikut ini adalah beberapa jenis interogasi lapangan yang umum. Berbagai
pemeriksaan lapangan yang digunakan untuk memastikan integritas data telah dijelaskan di
bawah ini:
a. Pemeriksaan Batas: Ini adalah tes dasar untuk akurasi pemrosesan data dan dapat
diterapkan pada data input dan output. Bidang ini diperiksa oleh program terhadap batas
yang telah ditentukan untuk memastikan bahwa tidak ada kesalahan input / output yang
terjadi atau setidaknya tidak ada kesalahan input yang melebihi batas yang telah
ditentukan sebelumnya.
b. Picture Checks: Ini memeriksa entri untuk memproses karakter yang salah / tidak valid.
• Cek Kode Valid: Cek dilakukan terhadap kode transaksi, tabel atau data pesanan yang telah
ditentukan untuk memastikan bahwa data input valid. Kode atau tabel yang telah ditentukan
dapat tertanam dalam program atau disimpan dalam file (akses langsung).
a. Periksa Digit: Salah satu metode untuk mendeteksi kesalahan pengkodean data
adalah digit periksa. Digit check adalah digit kontrol (atau digit) yang
ditambahkan ke kode ketika kode tersebut awalnya ditetapkan yang
memungkinkan integritas kode untuk dibuat selama pemrosesan selanjutnya.
Digit centang dapat ditemukan di mana saja dalam kode, sebagai awalan, akhiran,
atau disematkan di suatu tempat di tengah.
b. Pemeriksaan Aritmatika: Aritmatika sederhana dilakukan dengan berbagai cara
untuk memvalidasi hasil perhitungan lain dari nilai-nilai bidang data yang dipilih.
Contoh: Jumlah diskon untuk `4.000 dengan diskon 5% dapat dihitung dua kali
dengan berbagai cara berikut:
(b) 4.000 - 4.000 × 5/100 = 3.800 atau Lain kali di (3800 / (100-5)) * 100.
a. Pemeriksaan Silang: dapat digunakan untuk memverifikasi bidang yang muncul
dalam file yang berbeda untuk melihat bahwa hasilnya sesuai.
• Rekam Interogasi:
a. Pemeriksaan kewajaran: Apakah nilai yang ditentukan dalam suatu bidang layak
untuk bidang tersebut?
b. Tanda Valid: Isi dari satu bidang dapat menentukan tanda mana yang valid untuk
bidang angka.
c. Pemeriksaan Urutan: Jika catatan fisik mengikuti urutan yang diperlukan yang
cocok dengan catatan logis.
a. Penggunaan Versi: Versi file yang benar harus digunakan untuk memproses data
dengan benar. Dalam hal ini harus dipastikan bahwa hanya file terbaru yang
diproses.
b. Pelabelan Internal dan Eksternal: Pelabelan media penyimpanan penting untuk
memastikan bahwa file yang tepat dimuat untuk proses. Di mana ada proses
manual untuk memuat file, pelabelan eksternal penting untuk memastikan bahwa
file yang benar sedang diproses. Di mana ada sistem pemuat pita otomatis,
pelabelan internal lebih penting.
c. Keamanan File Data: Akses tanpa izin ke file data harus dicegah, untuk
memastikan kerahasiaan, integritas, dan ketersediaannya. Kontrol ini memastikan
bahwa file yang benar digunakan untuk diproses.
d. Sebelum dan sesudah Gambar dan Logging: Aplikasi dapat menyediakan untuk
pelaporan sebelum dan sesudah gambar transaksi. Gambar-gambar ini
dikombinasikan dengan logging peristiwa memungkinkan membangun kembali
file data kembali ke keadaan integritas terakhirnya, setelah itu aplikasi dapat
memastikan bahwa transaksi / peristiwa tambahan digulung kembali atau maju.
e. Pembaruan dan Pemeliharaan File Otorisasi: Kontrol yang memadai harus ada
untuk memperbarui dan pemeliharaan file untuk memastikan bahwa data yang
disimpan dilindungi. Pembatasan akses dapat menjadi bagian dari program
aplikasi atau dari pembatasan akses sistem secara keseluruhan.
f. Pemeriksaan Paritas: Ketika program atau data ditransmisikan, diperlukan kontrol
tambahan. Kesalahan transmisi dikendalikan terutama dengan mendeteksi
kesalahan atau memperbaiki kode.
• Gangguan transmisi dapat menyebabkan perbedaan antara data yang dikirim dan data
yang diterima;
• Data dapat hilang atau rusak karena kegagalan komponen; dan
• Pihak yang bermusuhan dapat berupaya menumbangkan data yang dikirim melalui
subsistem.
Kontrol ini membahas paparan dalam subsistem komunikasi, kontrol atas komponen fisik,
kesalahan jalur komunikasi, aliran, dan tautan, kontrol topologi, kontrol akses saluran, kontrol
atas serangan subversif, kontrol pekerja internet, kontrol arsitektur komunikasi, kontrol jejak
audit, dan kontrol keberadaan.
(a) Kontrol Komponen Fisik: Kontrol ini menggabungkan fitur yang mengurangi kemungkinan
efek dari paparan. Tabel 3.8.1 di bawah ini memberikan gambaran tentang bagaimana komponen
fisik dapat mempengaruhi keandalan subsistem komunikasi.
serat optik.
(B) Line Error Control: Setiap kali data dikirim melalui saluran komunikasi, ingat bahwa itu
dapat diterima dalam kesalahan karena distorsi atenuasi, atau kebisingan yang terjadi pada
saluran. Kesalahan ini harus dideteksi dan diperbaiki.
(c) Kontrol Aliran: Kontrol aliran diperlukan karena dua node dalam jaringan dapat berbeda
dalam hal laju pengiriman, penerimaan, dan pemrosesan data. Sebagai contoh, kerangka
utama dapat mengirimkan data ke terminal komputer mikro. Komputer mikro tidak dapat
menampilkan data pada layarnya dengan kecepatan yang sama dengan saat data berasal dari
bingkai utama. Selain itu, komputer mikro akan memiliki ruang buffer terbatas. Dengan
demikian, ia tidak dapat terus menerima data dari mainframe dan untuk menyimpan data
dalam buffer data yang tertunda pada layarnya. Kontrol aliran akan digunakan, oleh karena
itu, untuk mencegah mainframe main-main komputer mikro dan, sebagai hasilnya, data
hilang.
(d) Kontrol Tautan: Dalam WAN, kontrol kesalahan garis dan kontrol aliran adalah fungsi penting
dalam komponen yang mengelola hubungan antara dua node dalam jaringan. Komponen
manajemen tautan terutama menggunakan dua protokol umum HDLC (kontrol Tautan Data
Level Tinggi) dan SDLC (Kontrol Tautan Data Sinkron).
(e) Kontrol Topologis: Topologi jaringan komunikasi menentukan lokasi node dalam jaringan,
cara-cara di mana node-node ini akan dihubungkan, dan kemampuan transmisi data dari
tautan antara node-node tersebut. Menentukan topologi optimal untuk jaringan dapat menjadi
masalah kompleksitas yang luar biasa.
• Topologi Jaringan Area Lokal: Jaringan Area Lokal cenderung memiliki tiga karakteristik: (1)
mereka adalah jaringan milik pribadi; (2) mereka menyediakan komunikasi kecepatan tinggi di
antara node; dan (3) mereka terbatas pada area geografis yang terbatas (misalnya, satu lantai
atau bangunan atau lokasi dalam jarak beberapa kilometer dari satu sama lain). Mereka
diimplementasikan menggunakan empat jenis dasar topologi: (1) topologi bus, (2) topologi
pohon, (3) topologi cincin, dan (4) topologi bintang. Topologi hibrida seperti topologi cincin
bintang dan topologi bus bintang juga digunakan.
komunikasi.
• Mengurangi jumlah kesalahan garis yang muncul
melalui distorsi jika mereka menggunakan proses yang
disebut pemerataan.
• Mengurangi jumlah kesalahan garis yang muncul
melalui noise.
Perlindungan • Digunakan untuk mengurangi paparan terkait dengan
Pelabuhan akses dial-up ke sistem komputer. Perangkat
Perangkat perlindungan port melakukan berbagai fungsi keamanan
untuk mengotentikasi pengguna.
ketersediaan saluran.)
3.8.4 Kontrol
Pemrosesan Subsistem pemrosesan bertanggung jawab untuk menghitung, menyortir,
mengklasifikasikan, dan meringkas data. Komponen utamanya adalah Central Processor di
mana program dijalankan, memori nyata atau virtual di mana instruksi dan data program
disimpan, sistem operasi yang mengelola sumber daya sistem, dan program aplikasi yang
menjalankan instruksi untuk mencapai kebutuhan pengguna tertentu.
(i) Kontrol Prosesor: Prosesor memiliki tiga komponen: (a) Unit Kontrol, yang mengambil
program dari memori dan menentukan jenisnya; (B) Unit Aritmatika dan Logika, yang
melakukan operasi; dan (c) Register, yang digunakan untuk menyimpan hasil sementara dan
mengendalikan informasi. Empat jenis kontrol yang dapat digunakan untuk mengurangi
kerugian yang diperkirakan dari kesalahan dan penyimpangan yang terkait dengan prosesor
Central dijelaskan pada Tabel 3.8.4.
Tabel 3.8.4: KontrolSistem Operasi
Kontrol Penjelasan
Kontrol Suatu sistem operasi mungkin macet dalam loop tak terbatas.
Pengatura Dengan tidak adanya kontrol, program akan tetap
n Waktu menggunakan prosesor dan mencegah program lain melakukan
pekerjaan mereka.
(ii) Kontrol Memori Nyata: Ini terdiri dari jumlah tetap penyimpanan utama di mana
program atau data harus disimpan agar dapat dieksekusi atau dirujuk oleh prosesor pusat.
Kontrol memori nyata berusaha mendeteksi dan memperbaiki kesalahan yang terjadi dalam sel
memori dan untuk melindungi area memori yang ditugaskan untuk suatu program dari akses
ilegal oleh program lain.
(iii) Kontrol Memori Virtual: Memori Virtual ada ketika ruang penyimpanan addressable
lebih besar dari ruang memori nyata yang tersedia. Untuk mencapai hasil ini, mekanisme
kontrol harus ada di tempat yang memetakan memori virtual alamat menjadi alamat memori
nyata.
Mekanisme Kontrol Akses: Mekanisme Kontrol Akses dikaitkan dengan pengguna yang
diidentifikasi dan diberi otorisasi sumber daya yang mereka boleh akses dan tindakan istimewa.
Mekanisme memproses permintaan pengguna untuk Memori waktu nyata dan sumber daya
Memori Virtual dalam tiga langkah:
• Identifikasi: Pertama dan terutama, pengguna harus mengidentifikasi diri mereka sendiri.
• Otentikasi: Kedua, pengguna harus mengotentikasi diri mereka sendiri dan mekanisme
tersebut harus mengotentikasi sendiri. Mekanisme mengakses informasi yang tersimpan
sebelumnya tentang pengguna, sumber daya yang dapat mereka akses, dan hak istimewa
tindakan yang mereka miliki sehubungan dengan sumber daya ini; itu kemudian
mengizinkan atau menolak permintaan. Pengguna dapat memberikan empat faktor
informasi otentikasi seperti dijelaskan dalam Tabel 3.8.5.
Tabel 3.8.5: Kelas Otentikasi
Informasi yang diingat Nama, nomor akun, kata
sandi
• Otorisasi: Ketiga, permintaan pengguna untuk spesifik sumber daya, kebutuhan mereka
akan sumber daya tersebut dan bidang penggunaan sumber daya ini. Ada dua pendekatan
untuk mengimplementasikan modul otorisasi dalam mekanisme kontrol akses:
o "pendekatan berorientasi tiket", dan o
"pendekatan berorientasi daftar".
Mempertimbangkan fungsi otorisasi dalam bentuk matriks di mana baris mewakili
pengguna dan kolom mewakili sumber daya dan elemen mewakili hak pengguna pada
sumber daya, kita dapat melihat perbedaan antara dua pendekatan ini.
• Dalam pendekatan berorientasi tiket untuk otorisasi, mekanisme kontrol akses memberikan
pengguna, tiket untuk setiap sumber daya yang diizinkan untuk mereka akses. Pendekatan
berorientasi tiket beroperasi melalui baris dalam matriks. Setiap baris bersama dengan
sumber daya pengguna memiliki hak istimewa tindakan khusus untuk pengguna tersebut.
• Dalam pendekatan berorientasi daftar, mekanisme menghubungkan setiap sumber daya
dengan daftar pengguna yang dapat mengakses sumber daya dan hak istimewa tindakan
yang dimiliki setiap pengguna sehubungan dengan sumber daya. Mekanisme ini beroperasi
melalui kolom dalam matriks. Tabel 3.8.6 yang diberikan di bawah ini menggambarkan
matriks otorisasi dalam mekanisme kontrol akses.
Tabel 3.8.6:Matriks Otorisasi
Pengguna FileFile Editor B Program
(iv) Kontrol Pemrosesan Data: Ini melakukan pemeriksaan validasi untuk mengidentifikasi
kesalahan selama pemrosesan data. Mereka diminta untuk memastikan kelengkapan dan
keakuratan data yang sedang diproses. Biasanya, kontrol pemrosesan ditegakkan melalui sistem
manajemen basis data yang menyimpan data. Namun, kontrol yang memadai harus ditegakkan
melalui sistem aplikasi front end juga untuk memiliki konsistensi dalam proses kontrol.
Berbagai kontrol pemrosesan diberikan sebagai berikut:
• Run-to-run Total: Ini membantu dalam memverifikasi data yang dapat diproses melalui
berbagai tahapan. Jika saldo saat ini dari buku besar faktur adalah ` 150.000 dan faktur
tambahan untuk total periode` 20.000 maka total nilai penjualan harus ` 170.000. Catatan
spesifik, mungkin catatan terakhir dapat digunakan untuk mempertahankan total kontrol.
• Verifikasi Kelaikan: Dua bidang atau lebih dapat dibandingkan dan diverifikasi silang untuk
memastikan kebenarannya. Sebagai contoh, persentase hukum dari dana cadangan dapat
dihitung pada jumlah pembayaran kotor untuk memverifikasi apakah kontribusi dana
cadangan yang dikurangi akurat.
• Edit Pemeriksaan: Edit pemeriksaan yang serupa dengan kontrol validasi data juga dapat
digunakan pada tahap pemrosesan untuk memverifikasi keakuratan dan kelengkapan data.
• Inisialisasi Bidang: Limpahan data dapat terjadi, jika catatan terus ditambahkan ke tabel
atau jika bidang ditambahkan ke catatan tanpa menginisialisasi, yaitu pengaturan semua
nilai menjadi nol / kosong sebelum memasukkan bidang atau catatan.
• Laporan Pengecualian: Laporan pengecualian dihasilkan untuk mengidentifikasi kesalahan
dalam data yang diproses. Laporan pengecualian tersebut memberikan kode transaksi dan
mengapa transaksi tertentu tidak diproses atau apa kesalahan dalam memproses transaksi.
Misalnya, saat memproses entri jurnal jika hanya entri debet yang diperbarui dan entri
kredit tidak diperbarui karena tidak adanya salah satu bidang penting, maka laporan
pengecualian akan merinci kode transaksi, dan mengapa itu tidak diperbarui dalam basis
data.
3.8.5 Kontrol Basis Data
Melindungi integritas basis data ketika perangkat lunak aplikasi bertindak sebagai antarmuka
untuk berinteraksi antara pengguna dan basis data, disebut kontrol pembaruan dan kontrol
laporan. Kontrol pembaruan utama diberikan sebagai berikut:
• Pemeriksaan Urutan antara Transaksi dan File Master: Sinkronisasi dan urutan pemrosesan
yang benar antara file master dan file transaksi sangat penting untuk menjaga integritas
pembaruan, penyisipan, atau penghapusan catatan dalam file master dengan hormat ke
catatan transaksi. Jika kesalahan, pada tahap ini diabaikan, itu mengarah pada korupsi data
kritis.
• Pastikan Semua Catatan pada File diproses: Saat memproses, catatan file transaksi
dipetakan ke file master masing-masing, dan file akhir dari file transaksi sehubungan
dengan akhir file file master harus dipastikan .
• Memproses beberapa transaksi untuk catatan tunggal dalam urutan yang benar: Transaksi
ganda dapat terjadi berdasarkan catatan induk tunggal (misalnya pengiriman produk ke
pusat distribusi yang berbeda). Di sini, urutan transaksi diproses terhadap catatan induk
produk harus dilakukan berdasarkan kode transaksi yang diurutkan.
• Mempertahankan akun suspense: Saat memetakan antara catatan master ke catatan transaksi
menghasilkan ketidakcocokan karena kegagalan dalam entri catatan yang sesuai dalam
catatan master; maka transaksi ini disimpan dalam akun suspense. Saldo akun suspense
yang bukan nol mencerminkan kesalahan yang harus diperbaiki. Kontrol Laporan Utama
diberikan sebagai berikut:
• Data Berdiri: Program aplikasi menggunakan banyak tabel internal untuk melakukan
berbagai fungsi seperti perhitungan upah kotor, perhitungan tagihan berdasarkan tabel
harga, perhitungan bunga bank dll. Mempertahankan integritas tabel tingkat pembayaran,
tabel harga dan tabel minat sangat penting dalam suatu organisasi. Setiap perubahan atau
kesalahan dalam tabel ini akan berdampak buruk pada fungsi dasar organisasi. Pemantauan
berkala dari tabel internal ini dengan cara pemeriksaan manual atau dengan menghitung
total kontrol adalah wajib.
• Print-Run-to Run control Total: total kontrol Run-to-Run membantu mengidentifikasi
kesalahan atau penyimpangan seperti catatan yang dihapus dengan salah dari file transaksi,
urutan pembaruan yang salah atau kesalahan pemrosesan perangkat lunak aplikasi.
• Cetak Entri Akun Suspense: Mirip dengan kontrol pembaruan, entri akun suspense harus
dimonitor secara berkala dengan masing-masing file kesalahan dan tindakan diambil tepat
waktu.
• Kontrol Keberadaan / Pemulihan: Strategi cadangan dan pemulihan bersama-sama
mencakup kontrol yang diperlukan untuk memulihkan kegagalan dalam database. Strategi
cadangan diimplementasikan menggunakan versi sebelumnya dan log transaksi atau
perubahan ke database. Strategi pemulihan melibatkan metode roll-forward (database
keadaan saat ini dari versi sebelumnya) atau roll-back (database keadaan sebelumnya dari
versi saat ini).
3.8.6 Kontrol Keluaran Kontrol
ini memastikan bahwa data yang dikirimkan kepada pengguna akan disajikan, diformat, dan
dikirimkan secara konsisten dan aman. Keluaran bisa dalam bentuk apa pun, bisa berupa laporan
data cetak atau file basis data dalam media yang dapat dilepas seperti CD-ROM atau dapat
berupa dokumen Word pada hard disk komputer. Apa pun jenis outputnya, harus dipastikan
kerahasiaan dan integritas output tetap terjaga dan bahwa hasilnya konsisten. Kontrol keluaran
harus ditegakkan baik dalam lingkungan pemrosesan batch maupun dalam lingkungan online.
Berbagai Kontrol Keluaran diberikan sebagai berikut:Alat
• Penyimpanan dan pencatatan bentuk-bentuk sensitif dan kritis: tulis pra-cetak harus
disimpan dengan aman untuk mencegah perusakan yang tidak sah atau penghapusan dan
penggunaan. Hanya orang yang diberi wewenang yang diizinkan untuk mengakses
persediaan alat tulis seperti formulir keamanan, instrumen yang dapat dinegosiasikan, dll.
• Pencatatan eksekusi program keluaran: Ketika program yang digunakan untuk output data
dieksekusi, ini harus dicatat dan dipantau; sebaliknya kerahasiaan / integritas data dapat
dikompromikan.
• Spooling / antrian: "Spool" adalah akronim untuk "Operasi Periferal Simultan Online". Ini
adalah proses yang digunakan untuk memastikan bahwa pengguna dapat terus bekerja,
sementara operasi cetak selesai. Ketika file akan dicetak, sistem operasi menyimpan aliran
data untuk dikirim ke printer dalam file sementara di hard disk. File ini kemudian
"digulung" ke printer segera setelah printer siap menerima data. Penyimpanan output antara
ini dapat menyebabkan pengungkapan dan / atau modifikasi yang tidak sah. Antrian adalah
daftar dokumen yang menunggu untuk dicetak pada printer tertentu; ini tidak boleh
dikenakan modifikasi yang tidak sah.
• Kontrol atas pencetakan: Output harus dilakukan pada printer yang benar dan harus
dipastikan bahwa pengungkapan informasi yang dicetak secara tidak sah tidak terjadi.
Pengguna harus dilatih untuk memilih printer yang benar dan pembatasan akses dapat
ditempatkan pada workstation yang dapat digunakan untuk mencetak.
• Kontrol distribusi dan pengumpulan: laporanDistribusi laporan harus dilakukan dengan cara
yang aman untuk mencegah pengungkapan data yang tidak sah. Itu harus dilakukan segera
setelah pencetakan untuk memastikan bahwa kesenjangan waktu antara generasi dan
distribusi berkurang. Log harus dipelihara untuk laporan yang dibuat dan kepada siapa ini
didistribusikan. Di mana pengguna harus mengumpulkan laporan, pengguna harus
bertanggung jawab atas pengumpulan laporan yang tepat waktu, terutama jika dicetak di
area publik. Log harus dipelihara tentang laporan yang dicetak dan dikumpulkan. Laporan
yang tidak tertagih harus disimpan dengan aman.
• Kontrol retensi: Kontrol retensi mempertimbangkan durasi output yang harus dipertahankan
sebelum dihancurkan. Pertimbangan harus diberikan pada jenis media di mana output
disimpan. Kontrol retensi mensyaratkan bahwa tanggal harus ditentukan untuk setiap item
output yang diproduksi. Berbagai faktor mulai dari kebutuhan output, penggunaan output,
hingga persyaratan legislatif akan mempengaruhi periode retensi.
3.9 Kontrol Umum
Beberapa kontrol umum yang cukup umum digunakan diturunkan dan disajikan pada Gambar.
3.9.1.
General Controls
(i) Tanggung jawab dan tujuan: Setiap fungsi IS harus didefinisikan dan didokumentasikan
dengan jelas, termasuk perangkat lunak sistem, pemrograman aplikasi dan pengembangan
sistem, administrasi basis data, dan operasi. Manajer senior, dari semua kelompok ini, dan
manajer dari masing-masing kelompok membentuk tim manajemen SI yang bertanggung jawab
atas pemanfaatan sumber daya SI yang efektif dan efisien. Tanggung jawab mereka meliputi:
• Memberikan informasi kepada manajemen senior tentang sumber daya IS, untuk
memungkinkan manajemen senior memenuhi tujuan strategis;
• Merencanakan perluasan sumber daya SI;
• Mengontrol penggunaan sumber daya IS; dan
• Melaksanakan kegiatan dan fungsi yang mendukung pemenuhan rencana strategis
perusahaan.
(ii) Kebijakan, standar, prosedur dan praktik: Kebijakan menetapkan aturan atau batasan otoritas
yang didelegasikan kepada individu di perusahaan. Ini adalah standar dan instruksi yang harus
diikuti oleh semua personel IS saat menyelesaikan tugas yang ditugaskan kepada mereka.
Prosedur menetapkan instruksi yang harus diikuti individu untuk bersaing dalam tugas yang
ditugaskan sehari-hari. Mandat semua permintaan untuk perubahan pada program yang ada
harus disetujui oleh pengguna dan manajemen IS sebelum programmer dan analis dapat
mengatasinya adalah contoh kebijakan. Instruksi terdokumentasi untuk mengisi formulir
permintaan perubahan standar, cara menjustifikasi biaya perubahan, cara menentukan perubahan
yang diperlukan, cara mendapatkan persetujuan, dan dari siapa mendapatkan persetujuan adalah
contoh prosedur. Kebijakan yang terdokumentasi harus ada dalam IS untuk:
• Kontrol Akses Pengguna melalui kata sandi, token, dan Kontrol biometrik; dan
Enkripsi Data: Menyimpan data dalam basis data dalam bentuk terenkripsi.
(b) Kontrol Pencadangan: Kontrol pencadangan memastikan ketersediaan sistem jika terjadi data
kerugian karena akses yang tidak sah, kegagalan peralatan atau bencana fisik; organisasi dapat
mengambil file dan databasenya. Cadangan mengacu pada membuat salinan data sehingga
salinan tambahan ini dapat digunakan untuk mengembalikan data asli setelah kehilangan data.
Berbagai strategi cadangan diberikan sebagai berikut:
• Rekaman ganda data: Di bawah strategi ini, dua salinan lengkap dari database
dipertahankan. Basis data diperbarui secara bersamaan.
• Pembuangan data secara berkala: Strategi ini melibatkan pengambilan data semua atau
secara berkala bagian dari database. Basis data disimpan pada suatu titik waktu dengan
menyalinnya beberapa media penyimpanan cadangan - pita magnetik, removable disk,
Optical disk. Itu dump mungkin dijadwalkan.
• Mencatat transaksi input: Ini melibatkan pencatatan transaksi data input yang
menyebabkan perubahan pada basis data. Biasanya, ini bekerja bersama dengan a
pembuangan berkala. Dalam kasus kegagalan database lengkap, dump terakhir dimuat
dan pemrosesan ulang transaksi dilakukan yang dicatat sejak terakhir membuang.
• Logging perubahan pada data: Ini melibatkan menyalin catatan setiap kali itu diubah oleh
tindakan pembaruan. Catatan yang diubah dapat segera dicatat sebelum tindakan
pembaruan mengubah catatan, segera setelah, atau keduanya. Terlepas dari strategi
cadangan basis data seperti yang disebutkan di atas, penting untuk mengimplementasikan
email dan kebijakan cadangan file pribadi. Kebijakannya bisa seperti membakar CD
dengan folder dan dokumen penting secara berkala untuk fungsi yang lebih terperinci dan
otomatis. Pilihan tergantung dan bervariasi dengan ukuran, sifat, dan kompleksitas
situasi. Pemulihan harus dilakukan untuk semua cadangan setidaknya dua kali setahun.
3.9.7 Kontrol Pengembangan Sistem
Kontrol pengembangan sistem ditargetkan untuk memastikan bahwa dokumentasi dan
otorisasi tersedia untuk setiap fase proses pengembangan sistem. Itu termasuk kontrol untuk
mengendalikan kegiatan pengembangan sistem baru: Enam kegiatan yang dibahas di bawah ini
berurusan dengan kontrol pengembangan sistem dalam pengaturan TI. Ini diberikan sebagai
berikut:
• Kegiatan Otorisasi Sistem: Semua sistem harus diberi wewenang dengan benar untuk
memastikan pembenaran dan kelayakan ekonomi mereka. Seperti halnya transaksi apa
pun, otorisasi sistem harus formal. Ini mengharuskan setiap permintaan sistem baru
diajukan secara tertulis dibentuk oleh pengguna untuk profesional sistem yang memiliki
keahlian dan wewenang untuk mengevaluasi dan menyetujui (atau menolak) permintaan.
• Aktivitas Spesifikasi Pengguna: Pengguna harus terlibat aktif dalam sistem proses
pengembangan. Keterlibatan pengguna tidak boleh diabaikan karena tingkatannya yang
tinggi kompleksitas teknis dalam sistem. Terlepas dari teknologi yang terlibat, pengguna
dapat membuat deskripsi tertulis terperinci dari kebutuhan logis yang harus dipenuhi oleh
sistem. Pembuatan dokumen spesifikasi pengguna sering melibatkan upaya bersama
pengguna dan profesional sistem. Namun, yang terpenting adalah dokumen ini tetap
merupakan pernyataan kebutuhan pengguna. Seharusnya menggambarkan pandangan
pengguna tentang masalah, bukan bahwa para profesional sistem.
• Kegiatan Desain Teknis: Kegiatan desain teknis di SDLC menerjemahkan spesifikasi
pengguna menjadi serangkaian spesifikasi teknis terperinci dari suatu sistem yang
memenuhi kebutuhan pengguna. Ruang lingkup kegiatan ini meliputi analisis sistem,
umum desain sistem, analisis kelayakan, dan desain sistem terperinci. Kecukupan ini
kegiatan diukur dengan kualitas dokumentasi yang muncul dari setiap fase. Dokumentasi
adalah kontrol dan bukti kontrol dan sangat penting untuk sistem sukses jangka panjang.
• Partisipasi Auditor Internal: Auditor internal memainkan peran penting dalam
mengendalikan kegiatan pengembangan sistem, khususnya di organisasi yang
penggunanya kurang keahlian teknis. Auditor harus terlibat pada awal SDLC proses
untuk membuat saran konseptual mengenai persyaratan dan kontrol sistem. Keterlibatan
auditor harus dilanjutkan di semua fase pengembangan proses dan ke dalam fase
pemeliharaan.
• Pengujian Program: Semua modul program harus diuji secara menyeluruh sebelum itu
diimplementasikan. Hasil tes kemudian dibandingkan dengan hasil yang telah ditentukan
untuk mengidentifikasi kesalahan pemrograman dan logika. Pengujian program memakan
waktu, tugas utama adalah menciptakan bermakna data uji. Untuk memfasilitasi
pelaksanaan tujuan audit yang efisien, data uji disiapkan selama fase implementasi harus
dilestarikan untuk penggunaan di masa depan. Ini akan memberikan auditor kerangka
referensi untuk merancang dan mengevaluasi tes audit masa depan. Sebagai contoh, jika
suatu program tidak mengalami perubahan pemeliharaan sejak penerapannya, pengujian
hasil dari audit harus identik dengan hasil tes asli. Memiliki dasar untuk Sebagai
perbandingan, auditor dapat dengan cepat memverifikasi integritas kode program. Di
Sebaliknya, jika terjadi perubahan, data uji asli dapat memberikan bukti tentang
perubahan ini. Auditor dengan demikian dapat memusatkan perhatian pada bidang-
bidang tersebut.
• Tes Pengguna dan Prosedur Penerimaan: Tepat sebelum implementasi, individu modul
sistem harus diuji sebagai satu kesatuan. Tim uji yang terdiri dari pengguna personel,
profesional sistem, dan personel audit internal menerapkan sistem tersebut pengujian
yang ketat. Setelah tim uji puas bahwa sistem memenuhi yang dinyatakan persyaratan,
sistem diterima secara formal oleh departemen pengguna. Tes formal dan penerimaan
sistem harus mempertimbangkan yang paling penting kontrol atas SDLC. Sangat penting
bahwa penerimaan pengguna didokumentasikan. Sebelum implementasi, ini adalah titik
terakhir di mana pengguna dapat menentukan sistem kecukupan dan penerimaan.
Meskipun menemukan kelemahan utama pada titik ini mahal, menemukan kelemahan
selama operasi produksi mungkin sangat menghancurkan.
3.9.8 Keamanan dan Kontrol Pusat Komputer
Ini adalah jenis berikut:
• Keamanan fisik,
• Keamanan Perangkat Lunak & Data, dan
• Keamanan Komunikasi Data.
a. Keamanan Fisik: Keamanan yang diperlukan untuk sistem komputer dapat dikategorikan
sebagai keamanan dari pelanggaran tidak disengaja dan pelanggaran insidental. Pelanggaran
keamanan karena kecelakaan bencana alam seperti kebakaran, banjir dan gempa bumi dll.
dapat menyebabkan kehancuran total data dan informasi penting. Modifikasi insidental atau
penipuan atau perusakan catatan keuangan yang dikelola oleh organisasi dapat menyebabkan
jumlah yang cukup besar uang yang akan disalurkan kepada personel yang curang.
Demikian pula, akses tidak sah ke rahasia catatan organisasi dapat menyebabkan kebocoran
informasi penting. Karenanya, ada a kebutuhan besar akan keamanan fisik sistem komputer.
Keamanan fisik termasuk pengaturan untuk:
• deteksi kebakaran dan sistem pencegah kebakaran,
• keamanan dari kerusakan air,
• perlindungan dari variasi daya, dan
• polusi dan intrusi yang tidak sah.
• kondisi udara,
• perlindungan debu, dan
• pembersihan secara teratur.
• Intrusion Tidak Resmi: intrusi yang tidak sah mengambil dua bentuk. Pertama, si penyusup
dengan memasuki ruangan secara fisik dapat mencuri aset atau melakukan sabotase. Atau,
penyusup dapat menguping instalasi dengan mengetuk kawat, menginstal bug elektronik atau
menggunakan penerima yang mengambil elektromagnetik sinyal. Entri fisik dapat dibatasi ke
ruang komputer dengan berbagai cara. Sebuah sistem lencana dapat digunakan untuk
mengidentifikasi status personel di dalam komputer kamar. Berbagai perangkat tersedia untuk
mendeteksi keberadaan bug oleh pengganggu ini adalah:
Pencatatan secara fisik atau elektronik,
Penjaga, anjing,
Masuk di area komputer dibatasi,
Buku log,
Alarm,
Mencegah penyadapan kawat,
Detektor intrusi fisik, dan
Keamanan Dokumen, data & media penyimpanan.
(B) Perangkat Lunak & Keamanan Data: Dalam dunia bisnis saat ini, perdagangan adalah
melalui jaringan & miliki tersebar di wilayah geografis, jadi keamanan adalah keharusan. Berikut
adalah beberapa contohnya persyaratan:
(c) Keamanan Komunikasi Data: Ini adalah aspek penting lain yang harus dicakup. Ini dapat
diimplementasikan melalui kontrol berikut:
• Komputer pribadi berukuran kecil dan mudah disambungkan dan dilepas, kemungkinan
besar untuk dipindahkan dari satu lokasi ke lokasi lain atau bahkan dibawa keluar
organisasi untuk pencurian informasi.
• Pen drive dapat dengan mudah dipindahkan dari satu tempat ke tempat lain pencurian
data yang mungkin terjadi. Bahkan hard disk dapat porting dengan mudah hari ini.
• PC pada dasarnya adalah mesin yang berorientasi pengguna tunggal dan karenanya, tidak
menyediakan data yang melekat perlindungan. Masalah dapat disebabkan oleh virus
komputer dan perangkat lunak bajakan, yaitu, korupsi data, operasi lambat dan sistem
rusak dll.
• Pemisahan tugas tidak dimungkinkan, karena jumlah staf yang terbatas.
• Karena banyaknya instalasi, mobilitas staf lebih tinggi dan karenanya menjadi sumber
kebocoran informasi.
• Staf operasi mungkin tidak cukup terlatih.
a. Kontrol akses yang lemah: Sebagian besar prosedur log-on menjadi aktif hanya pada saat
booting komputer dari hard drive. Tindakan Keamanan yang dapat dilakukan untuk mengatasi
risiko-risiko tersebut adalah diberikan sebagai berikut:
• Mengunci sistem secara fisik;
• Penebangan peralatan yang benar harus dilakukan;
• Pembelian perangkat keras dan perangkat lunak secara terpusat;
• Standar yang ditetapkan untuk pengembangan, pengujian dan dokumentasi;
• Penggunaan perangkat lunak antimalware;
• Penggunaan komputer pribadi dan periferalnya harus memiliki kontrol; dan
• Penggunaan kunci disk yang mencegah akses tidak sah ke floppy disk atau pen drive a
• komputer.
• Top Secret: Informasi internal yang sangat sensitif mis. merger atau akuisisi yang
tertunda; strategi investasi; rencana atau desain; yang dapat merusak organisasi secara
serius jika informasi tersebut hilang atau dipublikasikan. Informasi diklasifikasikan
sebagai informasi Top Secret memiliki distribusi yang sangat terbatas dan harus
dilindungi setiap saat. Keamanan di level ini harus setinggi mungkin.
• Sangat Rahasia: Informasi yang, jika dipublikasikan atau bahkan dibagikan di sekitar
organisasi, dapat dengan serius menghambat operasi organisasi dan dianggap kritis untuk
operasi yang sedang berlangsung. Informasi akan mencakup informasi akuntansi, bisnis
rencana, informasi pelanggan yang sensitif dari bank, pengacara dan akuntan dll., milik
pasien catatan medis dan data yang sangat sensitif serupa. Informasi tersebut tidak boleh
disalin atau dihapus dari kontrol operasional organisasi tanpa otoritas tertentu. Keamanan
di level ini harus sangat tinggi.
• Hak Milik: Informasi yang bersifat hak milik; prosedur, rutinitas kerja operasional,
rencana proyek, desain dan spesifikasi yang menentukan cara organisasi beroperasi.
Informasi semacam itu biasanya hanya untuk penggunaan khusus bagi personel yang
berwenang. Keamanan di level ini harus tinggi.
• Penggunaan Internal saja: Informasi tidak disetujui untuk sirkulasi umum di luar
organisasi di mana kerugiannya akan merepotkan organisasi atau manajemen tetapi di
mana pengungkapan tidak mungkin mengakibatkan kerugian finansial atau kerusakan
serius pada kredibilitas. Contohnya termasuk, memo internal, risalah rapat, laporan
proyek internal. Keamanan pada level ini harus dikontrol tetapi normal.
Dokumen Publik: Informasi dalam domain publik; laporan tahunan, pernyataan pers dll; yang
telah disetujui untuk penggunaan umum. Keamanan pada level ini harus minimal.
3.10.1 Integritas Data
Organisasi harus memutuskan berbagai implementasi pengendalian integritas data. Itu
Tujuan utama dari teknik kontrol integritas data adalah untuk mencegah, mendeteksi, dan
memperbaiki kesalahan dalam transaksi saat mereka mengalir melalui berbagai tahap program
pemrosesan tanggal tertentu. Di dengan kata lain, mereka memastikan integritas input aplikasi
tertentu, data yang tersimpan, program, transmisi data, dan output. Kontrol integritas data
melindungi data dari kecelakaan atau perubahan berbahaya atau perusakan dan memberikan
jaminan kepada pengguna bahwa informasi tersebut memenuhi harapan tentang kualitas dan
integritasnya. Menilai integritas data melibatkan evaluasi prosedur kritis berikut:
Sumber data Tidak valid, tidak lengkap, atau Bentuk desain; formulir pra-nomor
berurutan, dokumen turnaround;
kontrol data sumber tidak akurat pembatalan dan penyimpanan dokumen,
memasukkan tinjau untuk otorisasi yang sesuai;
pemisahan tugas, pemindaian visual;
periksa digit verifikasi; dan verifikasi
kunci.
Validasi input Tidak valid atau tidak akurat Saat file transaksi diproses, edit
Program periksa bidang data utama
rutinitas data dalam komputer diproses menggunakan pemeriksaan edit ini,
transaksi file urutan, bidang, tanda, validitas, batas,
rentang, kewajaran, data yang
berlebihan, dan kapasitas memeriksa.
Masukkan pengecualian dalam log
kesalahan; selidiki, koreksi, dan kirim
kembali tepat waktu; sunting kembali
Mengolah data Tidak akurat atau data tidak Kebijakan dan prosedur (mengatur
lengkap di diproses komputer kegiatan
dan penyimpanan file master
personil pemrosesan dan penyimpanan
kontrol data; data keamanan dan kerahasiaan,
jejak audit, dan perjanjian kerahasiaan);
pemantauan dan mempercepat entri data
oleh personel kontrol data; rekonsiliasi
pembaruan sistem dengan kontrol akun
atau laporan; rekonsiliasi basis data total
dengan total yang dipertahankan secara
eksternal; pelaporan pengecualian, cek
mata uang data, nilai default, marching
data; keamanan data (perpustakaan data
dan pustakawan, salinan cadangan data
file yang disimpan di lokasi di luar
lokasi yang aman, perlindungan
terhadap kondisi yang dapat
membahayakan data tersimpan);
menggunakan label file dan menulis
mekanisme perlindungan, perlindungan
basis data mekanisme (administrator
data yang bijaksana, data kamus, dan
kontrol pembaruan bersamaan) dan
kontrol konversi data.
Kontrol keluaran Tidak akurat atau komputer Prosedur untuk memastikan bahwa
tidak lengkap keluaran output sistem sesuai dengan tujuan
integritas organisasi, kebijakan, dan
standar, tinjauan visual output
komputer, rekonsiliasi total batch;
distribusi output yang tepat; hasil
rahasia yang dikirim dilindungi dari
yang tidak sah akses, modifikasi, dan
misrouting; peka atau out-put rahasia
yang disimpan di area aman; review
pengguna output komputer untuk
kelengkapan dan akurasi, penghancuran
keluaran rahasia tidak lagi dibutuhkan;
kesalahan dan laporan pengecualian.
3.73-3.83
3.10.2 Kebijakan Integritas Data
Kebijakan integritas data utama diberikan sebagai berikut:
• Pembaruan Tanda Tangan Virus: Tanda tangan virus harus diperbarui secara otomatis ketika
tanda tangan tersebut
tersedia dari vendor melalui pengaktifan pembaruan otomatis.
• Pengujian Perangkat Lunak: Semua perangkat lunak harus diuji dalam lingkungan pengujian
yang sesuai sebelumnya
instalasi pada sistem produksi.
• Divisi Lingkungan: Divisi lingkungan menjadi Pengembangan, Uji, dan
Diperlukan produksi untuk sistem kritis.
• Penyimpanan Cadangan di Luar Lokasi: Cadangan yang lebih dari satu bulan harus dikirim ke
luar untuk
penyimpanan permanen.
• Pencadangan Kuartal Akhir dan Akhir Tahun: Pencadangan triwulan dan akhir tahun harus
dilakukan
terpisah dari jadwal normal, untuk keperluan akuntansi
• Pemulihan Bencana: Rencana pemulihan bencana yang komprehensif harus digunakan untuk
memastikan
kelangsungan bisnis perusahaan dalam hal terjadi pemadaman.
• Virus / Kode Berbahaya: Sesuai Bagian 43 dari Undang-Undang Teknologi Informasi, 2000,
"Virus Komputer" berarti setiap instruksi komputer, informasi, data atau program yang
menghancurkan, merusak, menurunkan atau mempengaruhi kinerja komputer sumber daya atau
melampirkan sendiri ke sumber daya komputer lain dan beroperasi saat suatu program, data atau
instruksi dieksekusi atau beberapa peristiwa lain terjadi di komputer itu sumber; • Spam:
Mengirimkan pesan yang sama kepada semua orang di satu atau lebih Grup Berita Usenet atau
Daftar LISTSERV disebut sebagai spam. • Situs Web Kompromi / Propagasi Malware: Ini
termasuk defacements situs web. Hosting malware di situs web dengan cara yang tidak sah. •
Lainnya: Ini diberikan sebagai berikut: Cracking: Cracker adalah peretas dengan niat jahat. o
Menguping: Ini mengacu pada mendengarkan suara pribadi atau transmisi data, sering
menggunakan penyadapan. o Pemalsuan Email: Mengirim pesan email yang kelihatannya
dikirim oleh orang lain disebut sebagai pemalsuan Email.
o Ancaman E-mail: Mengirim pesan yang mengancam untuk mencoba dan meminta penerima
untuk melakukannya
sesuatu yang memungkinkan untuk menipu dirinya disebut sebagai ancaman Email.
o Memulung: Ini mendapatkan akses ke informasi rahasia dengan mencari
catatan perusahaan.
3.11.2 Dampak Penipuan Maya terhadap Perusahaan
Dampak penipuan cyber pada perusahaan dapat dilihat di bawah dimensi berikut:
• Kerugian Finansial: Penipuan dunia maya menyebabkan kerugian tunai aktual untuk
menargetkan perusahaan / organisasi.
Misalnya, penarikan uang secara keliru dari rekening bank.
• Dampak Hukum: Entitas yang terkena penipuan cyber terjebak dalam kewajiban hukum kepada
mereka
pelanggan. Bagian 43A dari Undang-Undang Teknologi Informasi, 2000, memperbaiki
kewajiban untuk
perusahaan / organisasi yang telah mengamankan data pelanggan. Entitas-entitas ini perlu
memastikan bahwa data tersebut terlindungi dengan baik. Jika penipu menerobos ke dalam basis
data tersebut, itu
menambah tanggung jawab entitas.
• Kehilangan kredibilitas atau Keunggulan Kompetitif: Berita yang dimiliki oleh database
organisasi
dipukul oleh penipu, menyebabkan hilangnya keunggulan kompetitif. Ini juga menyebabkan
kehilangan
kredibilitas. Ada kasus di mana harga saham perusahaan tersebut turun,
karena berita tentang pasang tersebut meresap ke pasar.
• Pengungkapan Informasi Rahasia, Sensitif atau Memalukan: Serangan dunia maya
dapat mengekspos informasi penting dalam domain publik. Misalnya, contoh dari
orang yang membocorkan informasi tentang program rahasia pemerintah.
• Sabotase: Situasi di atas dapat menyebabkan penyalahgunaan informasi tersebut oleh negara
musuh.
3.12 Ringkasan
Bab ini berkaitan dengan Keamanan Sistem Informasi dan pentingnya untuk suatu organisasi. Itu
bab mendefinisikan kategori informasi yang dapat dianggap sensitif dan seberapa sama
perlu dilindungi. Selain itu, bab ini juga menguraikan konsep Informasi
Kebijakan Keamanan Sistem dan berbagai komponen yang sama. Ada diskusi terperinci
pada masing-masing komponen Kebijakan Keamanan Sistem Informasi. Ini menguraikan
langkah-langkah untuk
mengubah kebijakan menjadi Standar, Pedoman dan Prosedur.
Bagian selanjutnya dari bab ini membahas tentang kontrol dan tipenya. Bab ini menguraikan
kebutuhan
untuk kontrol seperti itu. Ada diskusi terperinci tentang sifat kontrol dan implementasinya
lintas organisasi. Kegagalan untuk menerapkan kontrol tersebut dan penipuan yang dihasilkan
juga
telah dibahas dalam bab ini.
1 Apakah ID Pengguna & hak akses diberikan dengan persetujuan dari tingkat yang
sesuai
IS dan kepala fungsional?
(Verifikasi pembuatan ID pengguna, pemberian hak akses dan proses persetujuan)
2 Apakah organisasi mengikuti prinsip pemisahan tugas secara memadai
memberikan hak akses?
3 Apakah IDS Pengguna dalam format unik?
(Verifikasi konvensi penamaan untuk ID pengguna)
4 Apakah upaya masuk yang tidak valid dimonitor dan ID Pengguna ditangguhkan pada
upaya spesifik?
(Verifikasi parameter yang ditetapkan untuk upaya login yang tidak berhasil)
5 Apakah organisasi mengikuti komposisi kompleks untuk parameter kata sandi?
(Komposisi parameter kata sandi yang kompleks harus digunakan untuk menyulitkan
untuk menebak dan mencegah pengguna yang tidak sah mengakses, mis. karakter
khusus dan
nomor harus menjadi bagian dari kata sandi, Batasi penggunaan nama organisasi, 123,
xyz
atau istilah umum lainnya sebagai kata sandi)
6 Apakah memberikan akses ke pihak ketiga sesuai dengan Akses Pengguna
Kebijakan dan prosedur manajemen? (Organisasi harus menentukan dan menerapkan
proses pemberian akses ke pihak ketiga seperti kontraktor, pemasok, auditor, konsultan,
dll.)
7 Apakah pengguna dipaksa untuk mengubah kata sandi saat masuk pertama dan secara
berkala interval? (Verifikasi parameter kata sandi untuk login pertama dan penuaan
kata sandi)
8 Apakah organisasi menerapkan kebijakan layar yang jelas dan meja yang jelas? (Pada
desktop informasi rahasia tidak boleh tersedia, demikian juga tidak ada rahasia
informasi harus tersedia di meja tanpa pengawasan)
9 Apakah organisasi membatasi log-on bersamaan? (Satu ID pengguna tidak boleh masuk
dari dua terminal yang berbeda secara bersamaan waktu)
10 Apakah ID pengguna dibagikan?
(Verifikasi apakah ID pengguna dibagikan di antara karyawan / pengguna atau tidak?)
11 Apakah beberapa ID pengguna dialokasikan untuk satu orang?
16 Apakah kebijakan dan prosedur merupakan dokumen yang ditinjau dan diperbarui
secara berkala
interval?
17 Apakah akses ke pekerjaan yang dijadwalkan dibatasi untuk yang berwenang?
18 Apakah pembuatan pengguna darurat sesuai dengan kebijakan dan prosedur untuk
Manajemen Akses Pengguna?
(Verifikasi prosedur pemberian akses darurat, termasuk persetujuan dan
pemantauan)
19 Apakah proses peninjauan berkala memastikan akun pengguna sejajar dengan
kebutuhan bisnis
dan penghapusan pada penghentian / transfer?
(Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan pastikan itu
akun dibuat hanya ketika ada kebutuhan bisnis yang sah dan itu
akun dihapus atau dinonaktifkan secara tepat waktu jika terjadi penghentian atau
perubahan pekerjaan.)
20 Apakah kata sandi dibayangi dan menggunakan fungsi hash yang kuat? (Pastikan
algoritma hashing kekuatan dari.)
21 Tinjau proses pengaturan kata sandi awal untuk pengguna baru dan komunikasi
kata sandi tersebut dan mengevaluasi pelacakan setiap akun ke karyawan tertentu.
22 Apakah penggunaan grup dan tingkat akses yang ditetapkan untuk grup tertentu
menentukan
pembatasan penggunaannya?
(Mengevaluasi penggunaan kata sandi, hak akses di tingkat grup)
23 Pastikan bahwa fasilitas untuk masuk sebagai pengguna super / root dibatasi untuk
konsol sistem
alasan keamanan.
24 Periksa apakah parameter untuk mengontrol jumlah maksimum masuk tidak valid
upaya telah ditentukan dengan benar dalam sistem sesuai dengan kebijakan keamanan.
25 Periksa apakah pemeliharaan riwayat kata sandi telah diaktifkan di sistem untuk
melarang kata sandi yang sama agar tidak digunakan berulang-ulang berdasarkan rotasi
26 Verifikasi parameter dalam sistem untuk mengontrol log-on otomatis dari jarak jauh
sistem, koneksi konkuren yang dapat dimiliki pengguna, pengguna masuk ke sistem di
waktu ganjil (tengah malam, liburan, dll) dan memastikan apakah semuanya telah
diatur dengan benar
sesuai dengan kebijakan keamanan.
Pemeliharaan akun pengguna yang sensitive
1 Pastikan siapa pemelihara kata sandi sensitif seperti pengguna super / root
dan verifikasi apakah orang tersebut menjaga kerahasiaan kata sandi, baik itu
kata sandi telah disimpan dalam amplop tertutup dengan catatan perpindahan
penggunaan dalam keadaan darurat.
2 Dari file log, identifikasikan contoh penggunaan kata sandi sensitif seperti super
pengguna dan verifikasi apakah catatan telah disimpan dengan alasan yang sama.
Memastikan
bahwa kejadian semacam itu telah disetujui / diotorisasi oleh manajemen.
3 Dari file log, identifikasikan contoh upaya logon yang gagal ke pengguna super
akun dan periksa ID terminal / alamat IP dari mana itu terjadi. Periksa apakah
prosedur pelaporan dan eskalasi yang sesuai tersedia untuk pelanggaran tersebut
11 Apakah kesadaran keamanan dibuat tidak hanya dalam fungsi IS tetapi juga lintas
organisasi?
12 Apakah keamanan fisik dipastikan di fasilitas pemasok juga dalam kasus di mana
Aset organisasi (baik fisik atau data) diproses di pemasok
fasilitas?
13 Apakah penggunaan peralatan apa pun di luar tempat bisnis untuk informasi
pengolahan diotorisasi oleh manajemen?
14 Apakah keamanan diberikan untuk peralatan yang digunakan di luar tempat usaha
serupa dengan /
sama seperti yang ditawarkan untuk peralatan yang digunakan di dalam tempat bisnis?
15 Apakah ada peralatan pemantauan yang memadai untuk memantau pergerakan
dari personil di dalam fasilitas?
16 Dalam hal perangkat lunak outsourcing, apakah semua pekerjaan pemeliharaan hanya
dilakukan di
keberadaan / dengan pengetahuan staf IS yang sesuai?
17 Apakah kontrol akses yang tepat seperti kata sandi, kartu gesek, perangkat bio-metrik
dll. ada di sana dan ada kontrol yang memadai untuk menyimpan data / informasi
mereka?
Apakah ada kontrol untuk memastikan bahwa masalah dan pengumpulan ulang
perangkat akses tersebut
disahkan dan dicatat?
18 Apakah pelanggaran akses dicatat, ditingkatkan ke otoritas yang lebih tinggi dan
tindakan yang tepat diambil?
19 Apakah karyawan diharuskan menyimpan dokumen kritis / sensitif
tempat aman?
20 Periksa apakah fasilitas IS diakses untuk risiko terkait keamanan informasi sehubungan
dengan
pencahayaan, orientasi bangunan, signage dan karakteristik lingkungan
teridentifikasi?
21 Pastikan sistem pengawasan dirancang dan beroperasi dengan baik?