Dokumen tersebut membahas beberapa kerangka kerja (framework) untuk audit keamanan teknologi informasi, yaitu ISO 19011, ISO 27001, dan COBIT 5. ISO 19011 membahas prinsip-prinsip umum audit dan pengelolaan program audit. ISO 27001 merupakan standar internasional untuk manajemen keamanan informasi. COBIT 5 adalah kerangka kerja untuk tata kelola dan manajemen TI organisasi.
3. PENGERTIAN AUDIT
Proses sistematik, independen dan terdokumentasi untuk
mendapatkan bukti Audit dan mengevaluasi secara objektif untuk
memastikan kriteria audit dipenuhi.
AUDIT
AUDIT
Catatan, pernyataan fakta atau informasi lainnya, yang relevan dengan
kriteria audit dan dapat diverifikasi
Bukti
Audit
Seperangkat kebijakan, prosedur atau persyaratanKriteria
Audit
Pendahuluan
4. • Menilai keefektifan aktivitas - aktifitas dokumentasi dalam suatu organisasi;
• Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan regulasi organisasi;
• Mengukur tingkat efektifitas dari sistem;
• Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian
di masa datang;
• Menyediakan informasi untuk proses peningkatan;
• Meningkatkan saling memahami antar unit kerja dan antar individu;
• Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
Manfaat Audit
6. Area Audit TI
• Planning
• Organization and Management
• Policies and procedures
• Security
• Regulation
Jenis Audit TI
• System Audit
Audit terhadap sistem terdokumentasi untuk memastikan
sudah memenuhi standar nasional atau internasional
• Compliance Audit
Untuk menguji efektifitas implementasi dari kebijakan,
prosedur, kontrol dan unsur hukum yang lain
• Product / Service Audit
Untuk menguji suatu produk atau layanan telah sesuai
seperti spesifikasi yang telah ditentukan dan cocok
digunakan
Jenis dan Area Audit TI
7. 1. UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik ;
2. PP No. 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP);
3. PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik;
4. PP No. 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009
tentang Pelayanan Publik;
5. Perpres No 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik;
6. Draft Permen Kominfo tahun 2017 tentang Audit Penyelenggaraan Sistem Elektronik;
7. Peraturan Menteri Komunikasi dan Informatika Republik Indonesia Nomor 4 Tahun
2016 Tentang Sistem Manajemen Pengamanan Informasi.
Regulasi
8. Framework/Best Practice AUDIT
ISO 19011 – Sistem Manajemen Audit
ISO 27001 – Information Security Management
Control Objectives for Information and related Technology (CobiT) 5
10. Ruang Lingkup ISO 19011 – Sistem Manajemen Audit
ISO 19011:2018
Prinsip-Prinsip Audit
1
Pengelolaan Program Audit
2
Kompetensi dan Evaluasi Auditor
3
11. Prinsip – Prinsip Audit Berdasarkan ISO 19011
ISO 19011:2018
Integrity
Fair presentation
Due professional care
Confidentiality
Independence
Evidence-based approach
Risk-based approach
12. Aliran Proses Pengelolaan Program Audit (Siklus PDCA)
ISO 19011:2018
PLAN ACTCHECKDO
1.Menetapkan tujuan program
audit
2.Menentukan dan
mengevaluasi risiko serta
peluang terkait program audit
3.Membuat program audit
4.Memulai program Audit
5.Mempersiapkan kegiatan
Audit
1. Mengimplementasikan
Program audit
2. Melakukan kegiatan
audit
3. Mempersiapkan dan
mendistribusikan
laporan audit
1. Menyelesaikan Audit
2. Memonitor progam
Audit
1. Melakukan tindak
lanjut atas temuan
audit
2. Meninjau dan
meningkatkan program
audit
13. Metode Evaluasi
ISO 19011:2018
Kompetensi dan Evaluasi Auditor
Review Catatan
Feedback
Wawancara
Observasi
Pengujian
Ulasan Pasca Audit
• Kualifikasi pendidikan akademik (minimal S1 di bidang TIK), pengalaman (minimal 50 jam
sebagai asisten auditor), dan pengembangan/peningkatan kompetensi yang sesuai dengan
standar yang berlaku.
• Kompetensi keseluruhan dari tim audit yang diperlukan memiliki pengetahuan minimal di
bidang Infrastruktur TIK, Aplikasi & sistem informasi, Keamanan TIK, Manajemen TIK
• Kompleksitas audit;
• Jenis audit (merupakan audit gabungan atau bersama);
• Metode audit yang dipilih;
• Obyektivitas & ketidakberpihakan untuk menghindari konflik kepentingan dari proses audit;
• Kemampuan anggota tim audit untuk bekerja dan berinteraksi secara efektif dengan
perwakilan pihak yang diaudit dan pihak yang berkepentingan;
• Masalah eksternal / internal yang relevan, seperti bahasa audit, dan karakteristik sosial dan
budaya. Jika diperlukan mempertimbangkan kebutuhan akan juru bahasa;
• Perilaku dan integritas tim audit.
Kompetensi Auditor
14. ISO 27001 – 2013
Information Security Management
15. ISO 27001 (Information Security
Management System (ISMS)/SMKI)
merupakan Suatu bentuk kerangka
kerja standar internasional yang berisi
tentang standar-standar dalam area
keamanan informasi. Atau
seperangkat kebijakan yang berkaitan
dengan manajemen keamanan
informasi yang juga terkait dengan
risiko TI.
ISO 27001 - 2013
Prinsip Keamanan Informasi
16. Persyaratan Keamanan
Kebutuhan dan Tujuan Organisasi
Struktur Organisasi
Proses Yang Ada di Dalam Organisasi
Penetapan
dan
Penerapan
SMKI
Standard ini bertujuan
untuk :
Menentukan persyaratan
didalam penetapan, penerapan,
pemeliharaan dan perbaikan
berkelanjutan terhadap Sistem
Manajemen Keamanan
Informasi (SMKI) dalam
konteks organisasi
ISO 27001 - 2013
17. Manfaat Penerapan SMKI
• Manajemen mampu menerapkan Tata kelola keamanan informasi secara
efektif, efisien, dan konsisten dengan pendekatan berbasis risiko
• Kepatuhan Organisasi terhadap regulasi
• Organisasi mampu melakukan self assesment
• Security awareness
• Meningkatkan kepercayaan pengguna maupun stakeholder
• Peningkatan kualitas pelayanan
• Continuous improvement
ISO 27001 - 2013
19. KONTROL KEAMANAN INFORMASI PADA ISO 27001
ISO 27001 Annex A merupakan
bagian dari sistem manajemen
yang Menjelaskan implementasi
control Keamanan informasi
sebagai proses control mitigasi
risiko
• A.5 Information Security Policies
• A.6 Organization of information security
• A.7 Human Resources Security
• A.8 Asset Management
• A.9 Access Control
• A.10 Cryptography
• A.11 Physical and environmental security
• A.12 Operations security
• A.13 Communications security
• A.14 System Acquisition, development, and maintenance
• A.15 Supplier Relationships
• A.16 Information security incident management
• A.17 Information security aspects of business continuity
management
• A.18 Compliance
ISO 27001
ISO 27001 - 2013
22. Cobit 5 Framework
COBIT adalah kerangka kerja untuk tata kelola dan manajemen TI organisasi /perusahaan
(governance and management of enterprise IT)
COBIT membantu dalam menjembatani gap antara risiko bisnis, keperluan pengontrolan dan isu-isu
secara teknis. COBIT menyajikan good practices di seluruh domain dan proses dari kerangka kerja
dan aktivitas-aktivitas yang dapat dikelola dan terstruktur.
IT
Processes
IT
Resources
Business
Requirements
Data
Information Systems
Technology
Facilities
Human Resources
Evaluate, Direct, and
Monitoring
Align, Plan and Organise
Build, Acquire and Implement
Deliver, Service, and Support
Monitor,Evaluate, and Asses
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Information Reliability
23. Waterfall model
IT Processes
The control of
(kendali)
Business
Requirements
which satisfy
(yang mencakupi)
Control
Statements
is enabled by
(dimungkinkan)
Considering
(mempertimbangkan)
Control
Practices
Cobit 5 Framework
24. Prinsip dan Area pada Cobit 5
Prinsip
Cobit 5
Memenuhi
kebutuhan
stakeholder
Mencakup
enterprise
end to end
Menerapkan
single
integrated
framework
Memungkink
an
pendekatan
holistik
Memisahkan
tata kelola
dan
manajemen
Cobit 5 Framework