MAKALAH
AUDIT TEKNOLOGI SISTEM INFORMASI #
Untuk Memenuhi Salah Satu Tugas
Mata Kuliah Audit Teknologi Sistem Informasi #
Dosen : Qomariyah
Disusun Oleh :
Asdian Nurdianto ( 1B117089)
Gita Maulana Putra (1B117067 )
Santya Febga Dwi (1A114012)
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019
BAB I
A. Pengendalian Umum
Menurut Sawyer, Ditienhofer, & Scheiner (2005, hal. 549), general control consist of those controls in the IS and user environment that are pervasive over all or most application. They include such controls as segregation of incompatible duties, system development procedures, data security, all administrative controls, and disaster recovery capabilities.
Pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. arahnya ketentuan – ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut.
B. Contoh Pengendalian Umum
Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak terkait langsung ke suatu aplikasi tertentu. Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM Adak boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM di situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-‐ketentuan tersebut tidak langsung dengan transaksi pengambilan uang di mesin ATM).
C. Ruang lingkup pengendalian umum
• Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspektif manajemen) diantaranya adalah :
– Pengendalian manajemen puncak (top management controls).
– Pengendalian manajemen pengembangan sistem (information system management controls).
– Pengendalian manajemen sumber data (data resources management controls).
– Pengendalian manajemen operasi (operations management controls).
– Pengendalian manajemen keamanan (security administration management controls).
– Pengendalian manajemen jaminan kualitas (quality assurance management controls).
D. Unsur Pengendalian Umum
• Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup dari penulisan skripsi ini, maka yang akan dibahas adalah :
– Pengendalian Manajemen Operasi (Operasional Management Controls)
– Pengendalian Manajemen Keamanan (Security Management Controls)
Operasional Management Controls
Pengendalian manajemen operasi merupakan jenis pengendalian internal yang didesain untuk pengelolaan sumber daya dan operasi IT pada suatu organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi informasi.
– Pemisahan tugas dan fungsi
– Pengendalian personil
– Pengendalian perangkat keras
– Pengendalian jaringan
– Manajemen operasi
Pemisahan tugas dan fungsi
Pemisahan tugas dan fungsi didesain untuk memastikan bahwa fungsi fungsi yang tidak sejalan (atau seharusnya -‐ cek), seperti : fungsi analisis/desain dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :
– Pemisahan fungsi departement IT dengan non IT (users) Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan departement IT sehingga meningkatkan pengendalian terhadap akAvitas IT.
– Pemisahan fungsi dalam departement IT Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan penjadwalan input/output, pemeliharaan media (library).
Pengendalian personil
Personil mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal-‐hal berikut :
– Adanya prosedur penerimaan dan pemilihan pegawai
– Adanya program peningkatan keahlian pegawai melalui pelaAhan yang berhubungan dengan bidang tugasnya
– Adanya evaluasi atas pekerjaan yang dilakukan pegawai
– Administrasi atas gaji dan prosedur promosi yang jelas
– Penggunaan uraian tugas (job descrip5on)
– Pemilihan dan pelaAhan pegawai
– Penyediaan (supervisi) dan penilaian
– Penggiliran pekerjaan (job rota5on) dan keharusan mengambil cuA
– Adanya jenjang karier serta sarana dan aturan untuk mencapainya
Pengendalian perangkat keras
• Pengawasan terhadap akses fisik Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.
• Pengaturan lokasi fisik Lokasi ruang komputer merupakan perAmbangan yang penAng dalam pengendalian keamanan komputer
• Penggunaan alat pengamanan Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan
• Pengendalian operasi perangkat keras Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut
• Pengendalian perangkat lunak Pengendalian perangkat lunak didesain untuk memasAkan keamanan dan kehandalan sistem
• Pengendalian keamanan data Pengendalian keamanan data merupakan suatu Andakan pengendalian untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar Adak hilang dan rusak, atau diakses oleh orang yang Adak berhak
Pengendalian jaringan
Alat bantu (tools) penAng yang dapat digunakan oleh operator untuk mengelolawide area network adalah network control terminal. Network control terminalmenyediakan akses kepada soLware system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :
– Memulai dan menghenAkan jaringan dan proses
– Memonitor aktivitas jaringan
– Mengganti nama line komunikasi
– Mengenerate statistic system
– Menseting ulang panjangnya antrian
– Menambah frekuensi backup
– Menanyakan status sistem
– Mengirimkan system warning dan status message
– Memeriksa lintasan data pada line komunikasi
Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penAng pada suatu jaringan.
Manajemen operasi
Saat ini fungsi sistem yang sekarang digunakan pada manajemen operasi adalah komputer mikro secara stand alone, multi user atau jaringan (network) atau dalambentuk client server.
– Service level agreements
– Kepustakaan file
– Fungsi help desk
– Capacity planning
– Outsource
Security Management Controls (1)
Menurut Gondodiyoto (2007, hal. 345) pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer).
– Kebijakan keamanan IT (IT security policy)
– Beberapa aspek serangan potensial
– Mitos-‐mitos seputar keamanan komputer
– Kebijakan keamanan komputer
– Personil dan kebijakan keamanan computer
Security Management Controls (2)
Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa ancaman terhadap sistem informasi beserta cara penanganannya:
– Kebakaran
• Tindakan pengamanan untuk ancaman kebakaran adalah :
• Memiliki alarm kebakaran otomaAs yang diletakkan di ruangan dimana aset – asetsistem informasi berada.
• Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
• Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahanapi.
– Banjir
• Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
• Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air. – Perubahan tegangan sumber energi
• Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik,dapat menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu mengatasi masalah yang terjadi keAka tegangan listrik Aba – Aba turun.
Security Management Controls (3)
– Polusi
• Tindakan pengamanan untuk menganAsipasi polusi adalah dengan membuat situasikantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
– Virus dan Worm
• Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :
• Preventif, dapat dengan menginstal anti virus dan di-‐update secara berkala, melakukan scan atas file yang akan digunakan.
• Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm.
• Korektif, memasAkan back up data bebas virus dan worm, pemakaian anti virusterhadap file yang terinfeksi.
STANDAR
DAN PANDUAN UNTUK AUDIT SISTEM INFORMASI
1. ISACA
ISACA adalah suatu organisasi profesi
internasional di bidang tata kelola teknologi informasi yang didirikan di
Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap
Information Systems Audit and Control Association, saat ini ISACA hanya
menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata
kelola teknologi informasi. ISACA telah memiliki kurang lebih 70.000 anggota
yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor
sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi,
pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari
sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.
2. IIA COSO
Committee
of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO,
adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan
laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut.
COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan
kriteria internal yang dapat digunakan perusahaan untuk menilai sistem
pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga
akuntansi profesional: American Institute of Certified
Public Accountants (AICPA), American Accounting Association(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) danThe Institute of Management Accountants (IMA).
3. ISO 1799
ISO / IEC 17799: 2005
menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan
memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang
diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi
yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik
pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan
informasi berikut:
·
pengorganisasian keamanan informasi;
·
manajemen aset;
·
keamanan sumber daya manusia;
·
keamanan fisik dan lingkungan;
·
komunikasi dan manajemen operasi;
·
kontrol akses;
·
akuisisi sistem informasi, pengembangan dan
pemeliharaan;
·
manajemen insiden keamanan informasi;
·
manajemen kontinuitas bisnis;
·
pemenuhan.
BAB II
AUDIT
KEAMANAN INFORMASI: STUDI KASUS PT XYZ
PT XYZ
merupakan perusahaan yang bergerak di bidang layanan pengelolaan dokumen.
Proses bisnis utamanya yaitu percetakan billing statement atau rekening koran
dan penyediaan jasa kurir. Dalam menjalankan bisnisnya, PT XYZ bekerja sama dengan
beberapa bank di Indonesia(lokal) dan bank asing, salah satunya adalah Bank ABC.
Bank ABC, sebagai salah satu pelanggan PT XYZ merupakan bank yang sudah melakukan
sertifiasi ISO 27001.
Bank ABC
melakukan audit keamanan informasi pada PT.XYZ selama kurang lebih 2 (dua) bulan,
yaitu dari bulan Februari 2012 sampai dengan bulan Maret 2012. Di mana Bank ABC
melakukan audit keamanan informasi di PT XYZ, yang meliputi audit terhadap
informasi yang diterima, informasi yang diproses, serta informasi yang dicetak
dan didistribusikan kepada pelanggan
sesuai alamat pelanggan. Hasil audit Bank ABC berbeda dengan ekspektasi Divisi
Teknologi Informasi (TI) PT XYZ selama ini. Sesuai hasil audit keamanan informasi
tersebut, keamanan informasi PT XYZ dinilai masih lemah. Selain itu, monitoring
dan evaluasi dari pihak yang berwenang dinilai masih kurang, sehingga kriteria
keamanan informasi belum terpenuhi. Kurangnya monitoring dan evaluasi ini
menjadi salah satu penyebab masalah belum terpenuhinya kriteria keamanan
informasi di PT XYZ.
Belum tercapainya
kriteria keamanan informasi salah satunya disebabkan karena belum adanya kebijakan
dan prosedur keamanan informasi komprehensif, baik yang berlaku pada tingkat operasional
(teknis) maupun manajerial. Ekspektasi divisi TI selama ini adalah keamanan
informasi perusahaan sudah baik (aman), begitu pula dengan keamanan informasi pelanggan.
Hal ini ditunjang dari adanya kebijakan dan prosedur keamanan informasi yang
berlaku di PT XYZ.
Ditinjau
dari hasil audit bank tersebut, divisi TI memutuskan melakukan audit kepatuhan
keamanan informasi untuk menguji apakah tingkat kepatuhan keamanan informasi perusahaan
terhadap visi dan misi best services terhadap pelanggan yang sudah
memenuhi aspek keamanan informasi dan menguji penga- ruhnya terhadap keamanan
informasi perusahaan dan pelanggan. Dari hasil audit kepatuhan keamanan
informasi ini, nantinya didapatkan kebijakan dan prosedur yang lemah sehingga dapat
diberikan rekomendasi kebijakan dan prosedur yang lebih komprehensif sesuai standar
internasional ISO 27001.
Permasalahan
yang dihadapi dalam penelitian ini yaitu divisi TI PT. XYZ mengalami kesulitan untuk
mengetahui batasan batasan atau ruang lingkup audit yang digunakan oleh bank
ABC, sehingga divisi TI hanya terbatas pada audit kepatuhan keamanan informasi
terhadap visi dan misi best services perusahaan. Jika di tengah jalan
didapatkan kebijakan dan prosedur yang lemah maka akan direkomendasikan
kebijakan dan prosedur baru.
Untuk itu
penelitian ini ditujukan untuk menjawab pertanyaan penelitian sebagai
berikut:
a. Apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi?
b. Apakah Kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi?
c. Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi?
berikut:
a. Apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi?
b. Apakah Kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi?
c. Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi?
Penelitian
ini dilakukan untuk menyelesaikan permasalahan keamanan informasi melalui audit
keamanan informasi dengan memberikan rekomendasi perbaikan kebijakan dan
prosedur keamanan informasi sehingga lebih komprehensif sesuai praktik terbaik
dan standar internasional keamanan
informasi, ISO/IEC 27001: 2005, serta terpenuhinya kriteria keamanan informasi di lingkungan PT XYZ dan pada akhirnya dapat mendukung PT XYZ dalam memberikan best services pengelolaan dokumen kepada pelanggan sesuai dengan visi dan misi PT XYZ.
informasi, ISO/IEC 27001: 2005, serta terpenuhinya kriteria keamanan informasi di lingkungan PT XYZ dan pada akhirnya dapat mendukung PT XYZ dalam memberikan best services pengelolaan dokumen kepada pelanggan sesuai dengan visi dan misi PT XYZ.
Sedangkan
ruang lingkup dan batasan dalam penelitian ini yaitu hanya terbatas pada audit
kepatuhan keamanan informasi untuk memberikan rekomendasi kebijakan dan prosedur
guna meningkatkan keamanan informasi di lingkungan PT XYZ sesuai dengan hasil
audit yang dilakukan oleh peneliti. Penelitian ini tidak mencakup implementasi,
monitoring, dan evaluasi dari rekomendasi perbaikan kebijakan dan prosedur.
Data dan informasi yang dimaksud dalam penelitian ini adalah data dan informasi
yang dikelola oleh PT XYZ.
Kerangka kerja dan standar yang menjadi dasar
dalam penyusunan kebijakan dan prosedur adalah ISO/IEC 27001: 2005. Dalam
penelitian ini tidak dibahas mengenai pemasalahan outsourcing SI/TI di
lingkungan PT XYZ dan keamanan informasi
dalam pengiriman dokumen yang dilakukan oleh kurir. Sedangkan best services atau
layanan terbaik yang dimaksud dalam penelitian ini adalah pelayanan terhadap
keamanan informasi.
Asdian Nurdianto (1B117089)
Analisis Kasus
PT XYZ bekerja sama dengan
beberapa bank di Indonesia(lokal)dan bank asing salah satunya bank ABC sebagai
salah satu pelanggan PT XYZ merupakan bank yang hanya sudah melakukan
serifikasi ISO 27001. Hasil audit Bank ABC berbeda dengan ekspektasi PT XYZ. Berhubung
PT XYZ dinilai masih lemah karena kurangnya monitoring dan evaluasi menjadi
masalah belum terpenuhinya kriteria keamanan informasi di PT XYZ.
Permasalahan yang dihadapi dalam
penelitian ini mengalami kesulitan pada batasanan atau ruang lingkup audit yang
digunakan oleh bank ABC shingga divisi TI hanya terbatas pada audit keamanan
informasi pada visi dan misi best services perusahaan . Sebelum melakukan analisis kesenjangan, terlebih dahulu dilakukan penilaian
kesenjangan untuk mengetahui dan membandingkan sejauh apa kontrol-kontrol ISO 27001
yang sudah dilakukan, baik dalam kebijakan, prosedur, instruksi maupun dokumentasinya.
Hasil penilaian kesenjangan keamanan informasi
yang dilakukan melalui wawancara dan observasi sesuai dengan panduan checklist ISO/IEC 27001:2005
Penelitian memberikan rekomendasi terpenuhinya
kriteria keamanan informasi melalui audit keamanan informasi, karena kriteria
keamanan informasi PT XYZ yang memberikan best service pengelolaan dokumen
kepada pelanggan. best services atau layanan terbaik yang dimaksud dalam
penelitian ini adalah pelayanan terhadap keamanan informasi.
https://www.scribd.com/document/342764160/AUDIT-Sistem-Informasi-pdf 11 : 32 tanggal 15 oktober 2018
https://tiositumorang.wordpress.com/2017/12/01/audit-sistem-informasi-pengendalian-internal-umum-dan-aplikasi/
11 : 32
tanggal 15 oktober 2018
https://media.neliti.com/
