Perbandingan 3 Framework Audit TI (ITAF, ISO 17799, ISO 15408/ ITSEC)

TUGAS 3
Audit Teknologi Sistem Informasi#
Dosen : Qomariyah




Anggota Kelompok 1:
1.                Amalia Nur Syamsina                        (10115604)
2.                Anella Prisdayanti D                            (17115810)
3.                Shinta Larasati                                      (16115551)




Universitas Gunadarma
Sistem Informasi

2018




BAB I
PENDAHULUAN

1.                  ITAF
1.1               Sejarah dan Definisi ITAF
ITAF didesain dan diciptakan oleh ISACA, ITAF adalah sebuah Framework Praktek Profesional Audit / jaminan SI yang bertujuan sebagai sumber daya pendidikan untuk para profesional yang bekerja pada bidang audit/ jaminan SI. ITAF merupakan model referensi yang komprehensif dan baik penerapannya dikarenakan:
1.      Menetapkan standar audit dan jaminan peran dan tanggung jawab profesional SI, pengetahuan dan keterampilan, dan ketekunan, perilaku.
2.      Mendefinisikan istilah dan konsep spesifik untuk jaminan SI.
3.      Memberikan bimbingan dan alat-alat dan teknik pada perencanaan, desain, pelaksanaan dan pelaporan SI audit dan jaminan tugas
ITAF difokuskan pada materi ISACA dan menyediakan satu sumber dimana IS audit dan jaminan profesional dapat mencari bimbingan, penelitian kebijakan dan prosedur, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.
ITAF 2nd Edition dimasukkan dalam pedoman audit dan jaminan ISACA pada 1 November 2013, sedangkan 3rd Edition sendiri dimasukan pada 1 September 2014 yang akan dipakai sebagai pedoman baru dan akan di index didalam framework.
1.2               Keuntungan menggunakan model ITAF
·                     ITAF lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT, ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.
·                     ITAF didesain untuk profesional yang bergerak di bidang jasa audit atau assurance sehingga cocok diterapkan oleh lembaga.
·                     Prosedur, metode dan istilah-istilah dalam ITAF lebih familiar, mudah dimengerti dan diterapkan oleh auditor.

1.3               Organisasi ITAF IS audit dan jaminan standar dibagi menjadi tiga kategori:
1.                  Standar Umum (1000 series) -Apakah prinsip-prinsip di mana profesi jaminan IS beroperasi. Mereka berlaku untuk pelaksanaan semua tugas, dan berurusan dengan audit IS dan jaminan profesional etika, independensi, objektivitas dan hati-hati serta pengetahuan, kompetensi dan keterampilan.
2.                  Standar kinerja (1200 series) -Deal dengan pelaksanaan tugas, seperti perencanaan dan pengawasan, scoping, risiko dan materialitas, mobilisasi sumber daya, pengawasan dan tugas manajemen, audit dan bukti jaminan, dan berolahraga profesional penghakiman dan perawatan karena
3.                  Standar Pelaporan (1400 series) -Address jenis laporan, berarti komunikasi dan informasi yang dikomunikasikan ITAF IS pedoman audit dan jaminan menyediakan audit IS dan jaminan profesional dengan informasi dan arah tentang audit IS atau daerah jaminan. Sejalan dengan tiga kategori standar yang diuraikan di atas, pedoman fokus pada berbagai pemeriksaan pendekatan, metodologi dan materi yang terkait untuk membantu dalam perencanaan, pelaksanaan, menilai, menguji dan melaporkan IS proses, kontrol dan terkait IS audit atau jaminan inisiatif. Pedoman juga membantu memperjelas hubungan antara kegiatan perusahaan dan inisiatif, dan orang-orang yang dilakukan oleh IT.

2.                  ISO 17799
2.1               Sejarah dan Definisi ISO 17799
Pada tahun 1995, Institut Standard Britania (BSI) meluncurkan standard pertama mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi maka pada awal tahun 1990 BS 7799 di ciptakan, yaitu: "BS 7799, Bagian Pertama: Kode Praktek untuk Manajemen Keamanan Informasi". yang didasarkan pada Infrastruktur pokok BS 7799, ISO (Organisasi Intemasional Standardisasi) yang memperkenalkan ISO 17799 standard mengenai manajemen informasi pada 1 Desember, 2000. Sedangkan bagi ke sepuluh bagian kontrol dari BS 7799/ ISO 17799 standard meliputi: kebijakan keamanan, organisasi keamanan, penggolongan asset dan kendali, keamanan personil, phisik dan kendali lingkungan, pengembangan dan jaringan komputer dan manajemen, sistem akses kendali, pemeliharaan sistem, perencanaan kesinambungan bisnis, dan pemenuhan.
ISO 17799 merupakan suatu struktur dan rekomendasi pedoman yang diakui secara internasional untuk keamanan informasi. ISO 17799 juga dapat dikatakan proses evaluasi, implementasi, pemeliharaan dan pengaturan keamanan informasi yang singkat serta proses keamanannya dapat diusahakan atau di implementasikan bagi perusahaan agar memperoleh manfaat keamanan yang diinginkan. ISO 17799 merupakan proses yang seimbang antara fisik, keamanan secara teknikal dan prosedur, serta keamanan pribadi.

2.2               Keuntungan meggunakan model ISO 17799
         Keuntungan utama dari BS7799/ISO17799 berhubungan dengan kepercayaan publik. Sama seperti ISO 9000 yang mencerminkan jaminan kualitas.
·                     Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan. 
·                     Manajemen kebijakan terpusat dan prosedur.
·                     Menjamin layanan informasi yang tepat guna.
·                     Mengurangi biaya manajemen,
·                     Dokumentasi yang lengkap atas segala perubahan/revisi.
·                     Suatu metoda untuk menentukan target dan mengusulkan peningkatan.
·                     Basis untuk standard keamanan informasi internal perusahaan
Suatu organisasi yang menerapkan ISO 17799 akan mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan  informasi yang penting bagi operasional sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, efisiensi dan efektifitas.
2.3               Isi dari ISO-17799
Isi ISO 17799, meliputi :
·         10 control clauses (10 pasal pengamatan)
·         36 control objectives (36 objek/sasaran pengamanan)
·         127 controls securiy (127 pengawasan keamanan)

3.                  ISO 15408 / ITSEC
3.1               Sejarah dan Definisi ISO 15480 / ITSEC
Standar Internasional ISO 15408-1 disiapkan oleh Komite Teknis Bersama ISO / IEC JTC 1, Teknologi informasi, bekerja sama dengan Organisasi Sponsor Proyek Kriteria Umum. Teks identik ISO / IEC 15408-1 diterbitkan oleh Organisasi Sponsor Proyek Kriteria Umum sebagai Kriteria Umum untuk Evaluasi Keamanan Teknologi Informasi.
ISO / IEC 15408-1: 2009 menetapkan konsep dan prinsip umum evaluasi keamanan TI dan menetapkan model umum evaluasi yang diberikan oleh berbagai bagian ISO / IEC 15408 yang secara keseluruhan dimaksudkan untuk digunakan sebagai dasar untuk evaluasi keamanan dan sifat produk IT.
Kerangka kerja ini menyediakan model Perlindungan Profil (PPs) - dokumen yang mengidentifikasi persyaratan keamanan untuk berbagai perangkat keamanan tertentu - untuk membantu pengguna komputer menentukan persyaratan keamanan mereka memungkinkan pengecer komputer untuk menerapkan atribut keamanan yang sesuai dan memadai. Atribut-atribut ini kemudian dapat secara resmi diuji dan dievaluasi untuk memvalidasi kepatuhan dengan semua persyaratan yang berlaku.

3.1               Keuntungan menggunakan model ISO 15480 / ITSEC
·                     Mempertimbangkan faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian kebenaran dan efektivitas
·                     Fungsi mengacu menegakkan fungsi target keamanan
·                     Kebenaran menilai tingkat di mana fungsi keamanan yang dapat atau tidak dapat ditegakkan
·                     Efektivitas melibatkan penilaian kesesuaian target fungsi evaluasi, pengikatan fungsi, konsekuensi dari kerentanan diketahui dan kemudahan penggunaan

3.2               Kebijakan ISO 15480/ITSEC
Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi  manajemen resiko atau kepatuhan terhadap tolak ukur maupun tidak , suatu kebijakan keamanan harus di terapkan untuk  mengarahkan keseluruhan program. Perusahan dapat menerapkan  kebijakan keamanan dengan mengikuti pendekatan yang bertahap:
·         Fase  1- Ini siasi proyek.
·         Fase  2- Penyusunan kebijakan
·         Fase  3- Konsultasi dan persetujuan
·         Fase  4- Kesadaran dan edukasi
·         Fase  5-Penyebarluasan kebijakan


BAB II
TEORI PERBANDINGAN
ITAF VS ISO 17799 VS ISO 15408 / ITSEC


Area
      ITAF
ISO 17799
ISO 15408
Fungsi
Framework Praktek profesional Audit
Standard mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi
Standard untuk persyaratan keamanan fungsional yang disajikan dalam profil perlindungan (protection profile/pp) atau sasarab keamanan (security)
Area
·         3 standard
·         4 pedoman


·         10 control clauses (10 pasal pegamatan)
·         36 contol objectives (36 objek/sasaran pengamanan)
·         127 controls security ( 127 pengawasan keamanan)
·         5 fase kebijakan
·         6 batasan


Penerbit
ISACA
Institut Standard Britania (BSI)
Organisasi Sponsor Proyek Kriteria Umum
Pelaksanaan
Mencari bimbingan, kebijakan da prosedur penelitian, mendapatkan prgram audit dan jaminan dan mengembangkan laporan yang efektif.
Memberikan secara komprehensif alat pengendalian berisikan praktek terbaik dalam keamanan informasi.
Mempertimbangkan faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian kebenaradan efektivitas
Konsultan
Perusahaan Konsutan IT
Perusahaan konsultan IT, perusahaan keamanan
Perusahaan konsultan IT, perusahaan keamanan




























BAB III
PEMBAHASAN STUDI KASUS
3.2               Studi Kasus
            Fakultas Teknologi Informasi (FTI) Universitas Kristen Satya Wacana (UKSW) memiliki sejumlah laboratorium komputer sebagai fasilitas pembelajaran dan akses informasi untuk menunjang perkuliahan dan pengembangan diri mahasiswa. Laboratorium memiliki informasi-informasi penting yang perlu untuk dilindungi seperti informasi akademik berupa data pengajar baik dosen maupun asisten dosen, materi kuliah,dan lain-lain. Selain itu, FTI UKSW juga memiliki sistem informasi dan fasilitas yang terhubung dalam jaringan lokal maupun internet yang digunakan secara luas bagi mahasiswa dan dosen serta staf FTI UKSW untuk menunjang proses penyelenggaraan akademik dan administrasi. Akan tetapi dalam penerapannya sering ditemui keluhan-keluhan mengenai keamanan informasi yang ada. Oleh karena itu, perlu dilakukan upaya untuk mengidentifikasi penyebab dan mencari solusi agar dapat menyelesaikan masalah yang terjadi di FTI UKSW.
3.2       Hasil Analisis
Solusi yang dapat dilakukan adalah audit terhadap keamanan informasi untuk mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakan, pedoman, dan prosedur yang ada sehingga dapat mengidentifikasi dan memahami kelemahan yang ada. Pada hasil analisis digunakan 3 control clauses pada ISO 17799 yang digunakan sebagai indikator perhitungan self assessment yaitu :
1.                  communication and operations management, kontrol ini digunakan untuk menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala.
2.                  Access Control, kontrol ini digunakan untuk mengendalikan atau membatasi akses pengguna terhadap informasi-informasi yang telah diatur kewenangannya.
3.                  System Development and Maintenance, sistem aplikasi untuk divalidasi oleh operator sehingga dapat memastikan bahwa data yang dimasukkan benar dan sesuai. Karena input data dilakukan secara manual oleh operator maka tidak terdapat pesan otentikasi pada aplikasi serta proses validasi output pada sistem. Validasi data output pada sistem dilakukan secara manual dengan cara memperbandingkan output dengan data awal.

Data untuk melakukan perhitungan self assesment didapat dari 9 responden. Hasil yang diperoleh dari penelitian ini adalah keamanan informasi FTI UKSW berdasarkan ISO/IEC 17799:2005 memiliki rata-rata score sebesar 45 yaitu di posisi Marginal.

Sumber :

Komentar

Postingan populer dari blog ini

PEAS (Performance measure, Environment, Actuators, Sensors)

Sejarah Perkembangan sistem/teknologi Informasi Dan Perkembangan Perangkat Keras dan Perangkat Lunak

DEFINISI AGENT dan KONSEP AGENT PADA AI