Adakah tools lain untuk melakukan audit TI (Teknologi Informasi)? Jika ada sebutkan.
Audit TI memiliki tools yaitu Standar tools yang dikembangkan sebagai kerangka kerja (framework) yang disusun berdasarkan praktek terbaik (best practice) dari hasil riset serta pengalaman dalam kegiatan audit teknologi informasi. CobiT - Control Objectives for Information and Related Technology (ISACA and ITGI, 1992) adalah sebuah framework atau best practice untuk manajemen IT yang menyediakan pengukuran secara umum (generally accepted measures), indikator (indicators), proses (process) dan pengendalian (control) kepada manajer IT, auditor dan pengguna IT untuk dapat memberikan manfaat yang maksimal dalam hal pengembangan dan implementasi IT khususnya IT untuk pemerintahan (IT Governance). CobiT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework audit teknologi informasi karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor.
Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:
1. COBIT® (Control Objectives for Information and related Technology)
2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework
3. ISO/IEC 17799:2005 Code of Practice for Information Security Management
4. FIPS PUB 200
5. ISO/IEC TR 13335
6. ISO/IEC 15408:2005/Common Criteria/ITSEC
7. PRINCE2
8. PMBOK
9. TickIT
10. CMMI
11. TOGAF 8.1
12. IT Baseline Protection Manual
13. NIST 800-14
1. COBIT® (Control Objectives for Information and related Technology)
Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional.
Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered
Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.
Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan oleh ISACA, sebagai afiliasiITGI yaitu Certified Information Systems Auditor (CISA®) dan Certified Information Security Manager® (CISM®).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
o Effectiveness : Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
o Efficiency: Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
o Confidentiality :Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
o Integrity : Menitikberatkan pada integritas data/informasi dalam sistem.
o Availability : Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
o Compliance: Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
o Reliability: Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
o Applications
o Information
o Infrastructure
o People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebutCOBIT Quickstart.
2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework
COSO adalah organisasi swasta yang menyusun Internal Control – Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif.
Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini.
Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal Control – Integrated Framework COSOadalah:
o Effectiveness
o Efficiency
o Confidentiality
o Integrity
o Availability
o Compliance
o Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control – Integrated Framework COSO identik dengan COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik dengan COBIT.
3. ITIL (Information Technology Infrastructure Library)
Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi.
ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC).
Delapan serial buku ITIL tersebut terdiri atas:
o Software Asset Management
o Service Support
o Service Delivery
o Planning to Implement Service Management
o ICT Infrastructure Management
o Application Management
o Security Management
o Business Perspective
British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan dalam penetapan sertifikasi.
Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:
o Foundation certificate
Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan yang ada.
o Practitioner’s certificate
Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja (spesialisasi).
o Manager’s certificate
Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model uraian.
Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:
o Effectiveness
o Efficiency
o Confidentiality
o Integrity
o Availability
o Compliance
Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik dengan COBIT.
4. ISO/IEC 17799:2005 Code of Practice for Information Security Management
ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja.
Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005.
Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi.
Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2).
Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability.
Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan padainfrastructure.
Sumber : http://www.setiabudi.name/archives/20
Tidak ada komentar:
Posting Komentar