PROGRAM AUDIT SISTEM INFORMASI Titien S. Sukamto

advertisement
PROGRAM AUDIT SISTEM INFORMASI
Titien S. Sukamto
MANFAAT DAN PENTINGNYA PROGRAM AUDIT
• Program audit penting agar pelaksanaan audit dapat efektif dan efisien. Program
berisi daftar pengujian yang harus dikerjakan oleh Auditor dalam lingkup auditnya.
• Program audit juga dapat mendampingi manajemen dalam perencanaan
sumberdaya.
• Program audit dapat membantu untuk menginformasikan konsistensi
pengujian/penilaian pada audit sebelumnya. Misal, dalam melakukan perencanaan
dan persiapan audit, program audit yang telah dibuat pada periode sebelumnya,
dapat digunakan sebagai dasar untuk menjalankan audit priode saat ini, selama
proses atau objek yang akan diaudit sama.
PROGRAM AUDIT SISTEM INFORMASI
• Program audit dirancang untuk membahas risiko utama yang tampak dalam semua
sistem komputer.
• Biasanya, kalimat tujuan dan langkah - langkah dalam program audit disebutkan
secara umum.
• Sistem komputer dapat memiliki berbagai aplikasi yang berjalan, dan masingmasing memiliki perangkat pengendalian yang unik, tetapi pengendalian di sekitar
sistem komputer tersebut hampir sama.
• Pengendalian SI dalam program audit dibagi ke dalam 4 jenis pengendalian :
• Pengendalian lingkungan (Environmental controls)
• Pengendalian keamanan fisik (Physical security controls)
• Pengendalian keamanan logis (Logical security controls)
• Pengendalian operasional SI (IS operating controls)
PENGENDALIAN LINGKUNGAN
Pengendalian ini kebih umum dibanding dengan pengendalian keamanan fisik dan
logis.
Pengendalian lingkungan termasuk di dalamnya seperti :





Kebijakan, standar, panduan keamanan SI
Struktur pelaporan pada lingkungan proses SI (operasi komputer dan programming)
Kondisi keuangan vendor
Software license, perawatan, support agreement dan garansi dari vendor
Status dari kebijakan dan prosedur sistem komputer dalam operasional di organisasi
PENGENDALIAN KEAMANAN FISIK DAN LOGIS
Pengendalian fisik menyinggung masalah perlindungan hardware, komponen, dan
fasilitas yang ada. Biaya yang diciptakan serta penggantian dari program software
dan data yang rusak.
Pengendalian logis dijalankan pada sistem dan aplikasi untuk membantu mencegah
unauthorized access serta perusakan data baik yang disengaja maupun tidak.
Termasuk di dalamnya, kemampuan user dalam mengakses sistem, profil akses sistem
dan parameter, serta mekanisme log in.
PENGENDALIAN OPERASIONAL SI
Pengendalian ini dirancang untuk menjamin SI berjalan secara efisien dan efektif.
Pengendalian ini termasuk, ketepatan waktu dan keakuratan penyelesaian pekerjaan
oleh SI, distribusi output, performa prosedur backup dan recovery, performa prosedur
perawatan, dokumentasi dan resolusi dari masalah SI, serta pengawasan CPU dan
penggunaan penyimpanan data.
KEBIJAKAN, STANDAR DAN PANDUAN
KEAMANAN SISTEM INFORMASI
Titien S. Sukamto
KEBIJAKAN KEAMANAN SI
Kebijakan keamanan SI merupakan pernyataan tingkat tinggi yang menjelaskan
sasaran umum dalam organisasi untuk mengendalikan dan mengamankan sistem
informasinya.
Kebijakan harus secara spesifik menjelaskan siapa yang bertanggungjawab atas
implementasi kebijakan. Kebijakan biasanya dibuat oleh manajemen dan disetujui
oleh dewan direksi.
Karena pertemuan antara dewan direksi biasanya tidak sering terjadi, maka akan
lebih baik jika isi dari kebijakan tidak terlalu spesifik, karena jika ada perubahan
akan memakan waktu yang cukup lama sampai akhirnya kebijakan revisi diresmikan.
5 SECTIONS OF IS SECURITY POLICIES
Kebijakan keamanan dibagi ke dalam 5 section :
1. Purpose and Responsibility ( Tujuan dan Tanggung jawab)
2. System Procurement and Development (Pegadaan dan Pengembangan Sistem)
3. Access Terminals (Pembagian Hak Akses)
4. Equipment and Information Security (Keamanan Peralatan dan Informasi)
5. Service Bureau Programs (Program Biro Pelayanan)
SECTION 1 : PURPOSE AND RESPONSIBILITY
Contoh :
Istilah sistem harus merujuk pada semua operasi komputer di dalam organisasi,
termasuk dan tidak terbatas pada, mainframe, midranges, LAN dan WAN, personal
desktop, laptop, telekomunikasi serta teknologi baru yang sedang dikembangkan,
yang berada pada area fungsional dimana data dipertukarkan via media
elektronik, telekomunikasi, satelit, microwave, dan media lainnya.
SECTION 2 : SYSTEM PROCUREMENT AND
DEVELOPMENT
Section ini menjelaskan spesifikasi dari langkah-langkah yang dibutuhkan ketika SI yang baru
mulai dipertimbangkan. Langkah –langkah ini merepresentasikan standar dalam pendekatan
siklus pengembangan sistem.
Siklus pengembangan sistem informasi :
1.
Definisi ruang lingkup
2.
Definisi kebutuhan
3.
Tinjauan berbagai solusi alternatif
4.
Perancangan sistem
5.
Pengembangan sistem
6.
Pengujian sistem
7.
Pengawasan dan perawatan sistem
SECTION 3 : ACCESS TERMINAL
Contoh :
Manajemen berwenang untuk memasang (install) akses dial-up lainnya jika diperlukan
dalam kegiatan operasional organisasi
Section ini tidak berisi informasi yang cukup sehingga terkadang, digabung atau
dimasukkan ke dalam Section 4.
SECTION 4 : EQUIPMENT AND INFORMATION
SECURITY
Section ini membagi keamanan dalam 3 sub-section :
1. Keamanan peralatan dan lingkungan
2. Keamanan informasi dan komunikasi (kendali akses logis, metode klasifikasi
informasi, keamanan jaringan dan lokal, penyimpanan dan
pembuangan/penghapusan informasi)
3. Kemungkinan yang akan terjadi dan recovery (identifikasi aplikasi kritis untuk
menentukan prioritas recovery, rencana dokumentasi dan backup, prosedur
pengujian)
SECTION 5 : SERVICE BUREAU PROGRAMS
Section ini mengacu pada isu-isu kebijakan yang berkaitan dengan biro jasa.
Menyangkut kontrak dengan vendor pengembang sistem atau pihak ketiga lainnya.
Contoh :
1. Permintaan programming oleh perusahaan harus diawasi.
2. Perusahaan melalui sistem verifikasi oleh biro jasa akan menjamin bahwa sistem
baru beroperasi dengan benar sebelum diterapkan secara resmi
3. Vendor memberikan prosedur operasi dan error-handling kepada perusahaan.
STANDAR KEAMANAN SI
Standar keamanan SI berisi kriteria minimum, peraturan dan prosedur yang dibuat
oleh manajemen senior yang harus diterapkan untuk membantu menjamin pencapaian
kebijakan keamanan SI.
Standar keamanan diterapkan kepada staff dengan arahan dari manajemen.
Standar keamanan harus menjelaskan secara spesifik persyaratan/kebutuhan yang
diminta untuk masing-masing pengendalian SI
Penyusunan standar tidak perlu persetujuan dari dewan direksi
Contoh :
 Panjang password min 8 karakter
 Password kadaluwarsa setelah 30 hari
 Password terdiri dari kombinasi huruf dan angka
PANDUAN KEAMANAN SI
Panduan keamanan SI dibuat oleh manajemen senior dan dimaksudkan untuk
menjamin pencapaian kebijakan.
Format panduan hampir sama dengan standar, dimana ia memuat spesifikasi
terperinci untuk masing-masing pengendalian SI. Perbedaannya terdapat pada
penerapan/implementasi.
Pada beberapa organisasi, manajemen mungkin akan mengarahkan staff untuk
menerapkan panduan yang dianggap berguna. Pada organisasi lain, mengasumsikan
bahwa panduan sama dengan stadndar.
KEBIJAKAN, STANDAR DAN PANDUAN KEAMANAN
SI
Kebijakan, standar dan panduan keamanan SI harus dirancang saling berhubungan satu sama
lain untuk menjamin kelangsungan dan konsistensi dalam penerapannya terhadap semua SI di
organisasi.
Penerapan kebijakan, standar dan panduan keamanan SI juga sebaiknya bersifat fleksibel.
Kebijakan, standar dan panduan keamanan SI harus didokumentasikan dan siap pakai serta
terjamin ketersediaannya untuk semua pegawai organisasi, baik dalam bentuk tertulis (berkas
cetak) maupun format elektronik.
Dokumen kebijakan, standar dan panduan disusun sedemikian rupa agar tidak mengintimidasi
pegawai disaat membacanya. Dokumen juga harus secara periodik (minimal 1 tahun sekali)
diperbaharui.
Pegawai juga akan lebih baik jika mendapatkan informasi yang lengkap mengenai letak
dokumen kebijakan dan bagaimana cara mengaksesnya.
REFERENSI
Auditing Information System. Jack J. Champlain. 2nd Edition. 2003
Download