RESUME AUDIT INFORMASI (AC 403A)

Kelompok 10

Theresia Nanda Stella C. (232016167)

Edni Olka Pratiwi (232016134)
Umi Damayanti Laka (232016143)
Veronica R.F. Siahaan (232017051)
Devaya Alya A. (232017059)
Ines Aprilia P. (232017079)
KEBUTUHAN AKAN PERLINDUNGAN SISTEM INFORMASI
Perlindungan dibutuhkan untuk mengantisipasi risiko-risiko ini telah menyebabkan kesenjangan
antara kebutuhan untuk melindungi sistem dan tingkat perlindungan yang diterapkan.
Kesenjangan ini disebabkan oleh : (1)Penggunaan teknologi secara luas; (2)Interkonektivitas
sistem; (3)Penghapusan jarak, waktu, dan ruang sebagai kendala; (4)Ketidakmerataan perubahan
teknologi; (5)Devolusi manajemen dan kontrol; (6)Daya tarik melakukan serangan elektronik; 
(7)Faktor eksternal seperti persyaratan legislatif, hukum, dan peraturan atau teknologi
perkembangan.
Perlindungan juga bertujuan menghindari ancaman yang berasal dari : (1)kondisi teknis;
(2)bencana alam; (3)kondisi lingkungan; (4)faktor manusia; (5)akses tidak sah, atau virus. 
Keamanan Sistem Informasi
Dalam organisasi, tujuan keamanan terdiri dari tiga atribut yang diterima secara universal: (1)
Kerahasiaan; (2) Integritas; dan (3) Ketersediaan. Faktor yang diperlukan oleh suatu organisasi
agar bias menjadi berhasil: (1) Rencana yang Strategis; (2) Operasi Bisnis ; (3) Keuangan yang
dokumennya tidak dipublikasikan.
Kebijakan Keamanan Informasi
Kebijakan Keamanan Informasi selalu mencakup aturan yang dimaksudkan untuk :
Mempertahankan dan melindungi informasi dari modifikasi , akses atau penyingkapan yang
tidak sah; Membatasi atau menghilangkan potensi tanggung jawab hukum dari karyawan atau
pihak ketiga  dan; Mencegah pemborosan atau penggunaan sumber daya organisasi yang tidak
tepat. Alat untuk menerapkan kebijakan adalah Standar, Pedoman, dan Prosedur.
Anggota Kebijakan Keamanan
(1) Anggota manajemen yang memiliki wewenang, (2) Kelompok dan (3) Ahli hukum.
Kebijakan dan Hierarki Keamanan Informasi
Berbagai jenis kebijakan keamanan informasi adalah:
 Kebijakan Keamanan Pengguna : Kebijakan Keamanan Pengguna dan Kebijakan
Penggunaan yang Dapat Diterima.

1
 Kebijakan Keamanan Organisasi : Kebijakan Keamanan Informasi Organisasi, Kebijakan
Keamanan Jaringan & Sistem dan Kebijakan Klasifikasi Informasi.
 Ketentuan Koneksi - Kebijakan ini menetapkan kebijakan Grup untuk menghubungkan ke
jaringan.
Komponen Kebijakan Keamanan
(a) Tujuan dan Ruang Lingkup Dokumen dan audiens yang dituju; (b) Infrastruktur Keamanan;
(c) Persyaratan pemeliharaan dan kepatuhan dokumen kebijakan keamanan; (d) Mekanisme
respons insiden dan pelaporan insiden; (e) Struktur organisasi keamanan; (f) Inventarisasi dan
Klasifikasi aset; (g) Deskripsi teknologi dan struktur komputasi; (h) Keamanan Fisik dan
Lingkungan; (i) Manajemen Identitas dan kontrol akses; (j) Manajemen Operasi TI; (k)
Komunikasi TI; (l) Pengembangan Sistem dan Kontrol Pemeliharaan; (m) Perencanaan
Kesinambungan Bisnis; (n) Kesesuaian Hukum; dan (o) Persyaratan Pemantauan dan Audit.
Kontrol Sistem Informasi

 Kebutuhan akan Kontrol dalam Sistem Informasi

Prosedur kontrol IS dapat meliputi: (1)Strategi dan arahan;(2)Organisasi dan Manajemen Umum;
(3)Akses ke sumber daya TI;(4) Metodologi pengembangan sistem dan kontrol perubahan;
(5)Prosedur operasi;(6)Pemrograman Sistem dan fungsi dukungan teknis;(7)Prosedur Jaminan
Kualifikasi;(8)Kontrol Akses Fisik;(9)BCP dan DRP;(10)Jaringan dan Komunikasi;
(11)Administrasi Database;(11)Mekanisme perlindungan dan detektif terhadap serangan internal
dan eksternal.

 Tujuan Kontrol
Tujuan dari kontrol adalah untuk mengurangi atau jika mungkin menghilangkan penyebab
paparan potensi kerugian. Eksposur adalah potensi kerugian karena ancaman yang terjadi.
Tujuan kontrol melayani dua tujuan utama: Menjabarkan kebijakan organisasi sebagaimana
ditetapkan oleh manajemen; dan sebuah tolok ukur untuk mengevaluasi apakah tujuan kontrol
terpenuhi.

 Komponen Kontrol Internal

Kontrol internal terdiri dari lima komponen yaitu lingkungan kontrol, penilaian risiko, aktivitas
pengendalian, informasi dan komunikasi, pemantauan.

 Dampak Teknologi pada Kontrol Internal

Personel yang Kompeten dan Dapat Dipercaya; Pemisahan Tugas; Prosedur Otorisasi; Dokumen
dan Catatan yang Memadai; Kontrol Fisik atas Aset dan Catatan; Pengawasan Manajemen yang
Memadai; Pemeriksaan Independen atas Kinerja; Membandingkan Pertanggungjawaban
Terekam dengan Aset; Delegasi Wewenang dan Tanggung Jawab.

 Klasifikasi Kontrol Sistem Informasi

2
Berdasarkan Tujuan Kontrol : Kontrol Pencegahan, Kontrol Detektif, Kontrol Korektif, Kontrol
Kompensasi. Berdasarkan Sifat Sumber Daya Sistem : Kontrol lingkungan dan fasilitas, Kontrol
akses fisik, Kontrol akses logis,.

 Jenis – Jenis Eksposur

Eksposur Teknis·terdiri dari Data Diddling, Bom, Bom waktu, Bom logic, Trojan Horse, Worm,
Teknik salami, Trap Door.
Kontrol Manajemen Pengembangan Sistem
Terdapat tiga jenis audit yaitu Audit Serentak, Audit Pasca Implementasi, Audit Umum.
Memprogram Kontrol Manajemen
Siklus hidup pengembangan program terdiri dari enam fase utama dalam Perencanaan; Desain;
Kontrol; Coding; Pengujian; dan Operasi dan Pemeliharaan dengan fase Kontrol berjalan secara
paralel untuk semua fase lain.
Kontrol Batas
Teknik Kontrol Batas Utama adalah kriptografi, Kata sandi, Nomor Identifikasi Pribadi, Kartu
Identifikasi, Perangkat Biometrik
Kontrol Input
Kontrol input dibagi ke dalam kelas luas berikut Kontrol Dokumen Sumber, Kontrol Pengodean
Data, Kontrol Batch, dan Kontrol Validasi.
Kontrol Komunikasi
Kontrol ini membahas paparan dalam subsistem komunikasi, kontrol atas komponen fisik,
kesalahan jalur komunikasi, aliran, dan tautan, kontrol topologi, kontrol akses saluran, kontrol
atas serangan subversif, kontrol pekerja internet, kontrol arsitektur komunikasi, kontrol jejak
audit, dan kontrol keberadaan. Tiga jenis paparan utama yang terjadi dalam subsistem
komunikasi:
• Gangguan transmisi dapat menyebabkan perbedaan antara data yang dikirim dan data
yang diterima;
• Data dapat hilang atau rusak karena kegagalan komponen; dan 
• Pihak yang bermusuhan dapat berupaya untuk menumbangkan data yang dikirim melalui
subsistem.

Kontrol Basis Data 

Melindungi integritas basis data ketika perangkat lunak aplikasi bertindak untuk berinteraksi
antara pengguna dan basis data, yang disebut kontrol pembaruan dan kontrol laporan.
Kontrol Keluaran Kontrol
Data yang dikirimkan kepada pengguna akan disajikan, diformat, dan dikirimkan secara
konsisten dan aman. Dapat berupa laporan data cetak atau file basis data dalam media yang
dapat dilepas seperti CD-ROM atau dapat berupa dokumen Word pada hard disk komputer.
Berikut berbagai Kontrol Keluaran yang diberikan :
3
 a. Alat penyimpanan dan pencatatan bentuk-bentuk sensitif dan kritis
b. Pencatatan eksekusi program keluaran
c. Spooling / antrian
d. Kontrol atas pencetakan
e. Kontrol distribusi dan pengumpulan
f. Kontrol retensi
Pada proses ini untuk pengambilan keputusan yang mengarah pada otorisasi manajemen
transaksi. Terdapat tugas yang dapat dipisahkan :
• Memisahkan tugas otorisasi transaksi dari pemrosesan transaksi.
• Pisahkan penyimpanan catatan dari penyimpanan aset.
• Membagi tugas pemrosesan transaksi di antara individu.
Dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan dokumentasi untuk
melakukan tugas perawatannya.
Teknik kontrol organisasi meliputi dokumentasi sebagai berikut :
• Melaporkan tanggung jawab dan wewenang setiap fungsi,
• Definisi tanggung jawab dan tujuan masing-masing fungsi,
• Kebijakan dan prosedur,
• Uraian,
• tugasPemisahan tugas.
Kontrol Sistem Operasi
Sistem Operasi adalah program kontrol komputer. Ini memungkinkan pengguna dan aplikasi
mereka untuk berbagi dan mengakses sumber daya komputer yang umum, seperti prosesor,
memori utama, basis data dan printer.
a. Tujuan Pengendalian: Sistem Operasi menjadi salah satu perangkat lunak paling penting
dari semua perangkat komputer perlu bekerja di lingkungan yang terkontrol dengan baik.
b. Keamanan Sistem Operasi: Keamanan sistem operasi melibatkan kebijakan, prosedur dan
kontrol yang menentukan.
c. Pemulihan dari program yang merusak
Kontrol Manajemen Data
a. Kontrol Akses: Kontrol akses dirancang untuk mencegah individu yang tidak berwenang
melihat, mengambil, menghitung atau menghancurkan data entitas. Kontrol dibuat dengan
cara berikut:
 Kontrol Akses Pengguna melalui kata sandi, token, dan Kontrol biometrik.
 Enkripsi Data: Menyimpan data dalam basis data dalam bentuk terenkripsi.
b. Kontrol Pencadangan: Kontrol pencadangan memastikan ketersediaan sistem jika terjadi data
kerugian karena akses yang tidak sah, kegagalan peralatan atau bencana fisik dan organisasi
dapat mengambil file dan databasenya. Berikut strategi cadangan yang diberikan :
 Rekaman ganda data: Dua salinan lengkap dari database dipertahankan, dengan itu basis
data diperbarui secara bersamaan.

4
  Pembuangan data secara berkala: Strategi ini melibatkan pengambilan data semua atau
secara berkala bagian dari database. 
 Mencatat transaksi input: Melibatkan pencatatan transaksi data input yang menyebabkan
perubahan pada basis data. 
 Logging perubahan pada data: Melibatkan menyalin catatan setiap kali itu diubah oleh
tindakan pembaruan.
Kontrol Internet dan Intranet
1. Eksposur utama dalam sub-sistem komunikasi termasuk Internet dan Intranet, dengan itu
sebagai berikut :
a. Kegagalan Komponen: Data dapat hilang atau rusak karena kegagalan komponen.
Adapun komponen utama dalam sub-sistem komunikasi :
 Jalur komunikasi
 Perangkat keras
 Perangkat Lunak
 Karena kegagalan komponen
b. Ancaman Subversif: Seorang penyusup berupaya untuk melanggar integritas beberapa
komponen dalam sub-sistem. beberapa komponen dalam sub-sistem oleh:
 Ketuk invasif
 Ketuk induktif
 Penolakan Layanan
2. Kontrol untuk Ancaman Subversif
 Firewall
 Enkripsi
 Pencatatan Log Transaksi
 Panggil Kembali Perangkat

Kontrol atas Integritas dan Keamanan Data

Klasifikasi informasi dan dokumen sangat penting harus membedakan antara yang nilainya
kecil dan yang sangat tinggi sensitif dan rahasia. Terdapat 5 skala sederhana sebagai berikut :
 Top Secret: Informasi internal yang sangat sensitif dan keamanan di level ini harus
setinggi mungkin.
 Sangat Rahasia: Informasi jika dipublikasikan atau bahkan dibagikan di sekitar
organisasi, dapat dengan serius menghambat operasi organisasi dan dianggap kritis untuk
operasi yang sedang berlangsung. Keamanan di level ini harus sangat tinggi.
 Hak Milik: Informasi yang bersifat hak milik; prosedur, rutinitas kerja operasional,
rencana proyek, desain dan spesifikasi yang menentukan cara organisasi beroperasi.
Keamanan di level ini harus tinggi.
 Penggunaan Internal saja: Informasi tidak disetujui untuk sirkulasi umum di luar
organisasi di mana kerugiannya akan merepotkan organisasi atau manajemen tetapi di

5
mana pengungkapan tidak mungkin mengakibatkan kerugian finansial atau kerusakan
serius pada kredibilitas. Keamanan pada level ini harus dikontrol tetapi normal.