IT Audit
● Latar Belakang:
– ICT telah dimanfaatkan sedemikian (i) luas dan (ii) dalam, dan banyak
institusi / organisasi bergantung pada ICT, sehingga resiko bisnis semakin besar
● Definisi:
– Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur
teknologi informasi
● Proses IT Audit:
– Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem
informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan system diproteksi secara cukup (security,
confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain (coba cari pertanyaan2 lain)
● Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Framework Besar:
1. IT Audit
2. Analisis Resiko berdasarkan hasil audit
3. Memeriksa “kesehatan” system & security benchmarking terhadap sistem yang lain standard
4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan sistem Informasi
5. Hasil dari konsep keamanan:
Panduan keamanan system (handbook of system security)
Metodologi IT Audit:
CobiT
www.isaca.org
BS 7799 - Code of Practice
(CoP)
www.bsi.org.uk/disc/
BSI -IT baseline protection
manual
www.bsi.bund.de/gshb/engl
ish/menue.htm
ITSEC
www.itsec.gov.uk
Common Criteria (CC)
csrc.nist.gov/cc/
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar