UTS SUSULAN AUDIT SISTEM Standar Pengelolaan di Dunia IT

dokumen-dokumen yang mirip
Capability Maturity Model Integration (CMMI)

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

Taryana Suryana. M.Kom

Mengenal COBIT: Framework untuk Tata Kelola TI

Bab I Pendahuluan I. 1 Latar Belakang

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

COBIT (Control Objectives for Information and Related Technology)

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

BAB VIII Control Objective for Information and related Technology (COBIT)

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB II LANDASAN TEORI

Bab II Tinjauan Pustaka

RAHMADINI DARWAS. Program Magister Sistem Informasi Akuntansi Jakarta 2010, Universitas Gunadarma Abstrak

1 BAB I PENDAHULUAN. penting bagi hampir semua organisasi perusahaan karena dipercaya dapat

ISO 17799: Standar Sistem Manajemen Keamanan Informasi

1 PENDAHULUAN Latar Belakang

BAB II LANDASAN TEORI. audit keamanan informasi. Framework yang digunakan pada penelitian ini yaitu

PENGUKURAN TINGKAT KEMATANGAN SISTEM OTOMASI PADA PERPUSTAKAAN UNIVERSITAS KRISTEN PETRA DENGAN MENGGUNAKAN CMMI

KEAMANAN SISTEM INFORMASI

BEST PRACTICES TATA KELOLA TI DI PERUSAHAAN Titien S. Sukamto

AUDIT MANAJEMEN TEKNOLOGI INFORMASI DENGAN MENGGUNAKAN COBIT 4.1 PADA SISTEM TRANSAKSI KEUANGAN

Kendali dan Audit Sistem Informasi. Catatan: diolah dari berbagai sumber Oleh: mardhani riasetiawan

MODEL PENILAIAN KAPABILITAS PROSES OPTIMASI RESIKO TI BERDASARKAN COBIT 5

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

EVALUASI SISTEM INFORMASI MANAJEMEN KEPEGAWAIAN (SIMPEG) MENGGUNAKAN FRAMEWORK COBIT 4.1 (Studi Kasus : Kementerian Agama Kantor Kota Pekanbaru)

BAB I PENDAHULUAN. I.1. Latar Belakang

TATA KELOLA TEKNOLOGI INFORMASI PADA DOMAIN PO (PLAN AND ORGANIZE) MENGGUNAKAN FRAMEWORK COBIT 4.1 (STUDI KASUS DI RENTAL MOBIL PT.

ANALISIS TATA KELOLA TI PADA INNOVATION CENTER (IC) STMIK AMIKOM YOGYAKARTA MENGGUNAKAN MODEL 6 MATURITY ATTRIBUTE

PENILAIAN TATA KELOLA TEKNOLOGI INFORMASI PADA APLIKASI CSBO DENGAN MENGGUNAKAN FRAMEWORK COBIT 4.0

Irman Hariman., 2 Purna Riawan 2

Dr. Imam Subaweh, SE., MM., Ak., CA

STUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES

BAB I PENDAHULUAN. Audit sistem informasi ini memiliki tujuan untuk menciptakan Good

ANALISIS TINGKAT KEMATANGAN (MATURITY LEVEL) TEKNOLOGI INFORMASI PADA PUSTAKA MENGGUNAKAN COBIT 4.1

BAB 2 LANDASAN TEORI

I. BAB I PENDAHULUAN I.1 Latar Belakang

Bab III Kondisi Teknologi Informasi PT. Surveyor Indonesia

Manajemen Sumber Daya Teknologi Informasi TEAM DOSEN TATA KELOLA TI

Bab I Pendahuluan. I.1 Latar Belakang

BAB I PENDAHULUAN Latar Belakang. Dewasa ini, perkembangan perangkat keras begitu pesat, seiring

KENDALI DAN REGULASI. Pendahuluan. Model Kendali dan Regulasi 9/17/2012 COBIT ITIL ISO Sarbanes-Oxley

ANALISIS TINGKAT KEMATANGAN SISTEM INFORMASI PERPUSTAKAAN DI STIKES SURYA GLOBAL YOGYAKARTA

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

Materi 3 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

PENGUKURAN TINGKAT KEMATANGAN SIPMB MENGGUNAKAN MATURITY MODEL PROSES MENGELOLA DATA (DS11)

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

BAB I PENDAHULUAN. 1.1 Latar Belakang

BAB I PENDAHULUAN 1.1 Latar belakang

PERENCANAAN MASTER PLAN PENGEMBANGAN TI/SI MENGGUNAKAN STANDAR COBIT 4.0 (STUDI KASUS DI STIKOM)

AUDIT SISTEM INFORMASI PENGAWASAN DAN PEMANTAUAN PERMINTAAN LAYANAN DAN INSIDEN MENGGUNAKAN COBIT

Audit Teknologi Sistem Informasi. Pertemuan 1 Pengantar Audit Teknologi Sistem Informasi

BAB I PENDAHULUAN. I.1. Latar Belakang

COBIT COSO CMMI BS7799 BSI ITSEC/CC Control Objectives for Information and Related Technology

Muhammad Bagir, S.E.,M.T.I. Pengelolaan Strategik SI/TI

AUDIT SISTEM INFORMASI PADA RUMAH SAKIT UMUM DAERAH BANYUMAS MENGGUNAKAN FRAMEWORK COBIT 4.1 ABSTRAK

Tugas Mata Kuliah Tata Kelola IT Maturity Attribute of COBIT AI5 Process: Procure IT Resources

BAB I PENDAHULUAN. pada bidang teknologi sistem informasi dan manajemen. Dua ilmu yang

Oleh :Tim Dosen MK Pengantar Audit SI

SISTEM MANAJEMEN INTEGRASI/TERPADU

BAB I PENDAHULUAN 1.1 Latar Belakang

11-12 Struktur, Proses dan Mekanisme Tata Kelola Teknologi Informasi

PENGGUNAAN FRAMEWORK COBIT UNTUK MENILAI TATA KELOLA TI DI DINAS PPKAD PROV.KEP.BANGKA BELITUNG Wishnu Aribowo 1), Lili Indah 2)

ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA)

ANALISIS TINGKAT KEMATANGAN TATAKELOLA TI BERBASIS DELIVERY AND SUPPORT DI PERGURUAN TINGGI

Jurnal Sistem Informasi Dan Bisnis Cerdas (SIBC) Vol. 10, No. 2. Agustus 2017

BAB I PENDAHULUAN. Saat ini teknologi informasi dan komunikasi berkembang sangat cepat

BAB I PENDAHULUAN. industri keuangan, semakin sengit dan meruncing. Dalam bersaing, banyak

AUDIT SISTEM INFORMASI PADA DIGILIB UNIVERSITAS XYZ MENGGUNAKAN KERANGKA KERJA COBIT 4.0

MODEL PERANCANGAN TATA KELOLA TEKNOLOGI INFORMASI (IT GOVERNANCE) PADA PROSES PENGELOLAAN DATA DI UNIVERSITAS MALIKUSSALEH LHOKSEUMAWE

BAB I PENDAHULUAN. Latar Belakang

KERANGKA KERJA COBIT : SUATU TINJAUAN KUALITATIF AUDIT TEKNOLOGI INFORMASI

REKOMENDASI PENGEMBANGAN IT GOVERNANCE

Pendahuluan Tinjauan Pustaka

COBIT 5: ENABLING PROCESSES

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB IV HASIL DAN PEMBAHASAN. rekomendasi audit pengembangan teknologi informasi. 4.1 Evaluasi Hasil Pengujian & Laporan Audit

COBIT dalam Kaitannya dengan Trust Framework

DAFTAR ISI CHAPTER 5

AUDIT TATA KELOLA TI BERBASIS MANAJEMEN RISIKO DENGAN MENGGUNAKAN PBI 9/15/2007 DAN COBIT 4.1 DI BANK X

1 PENDAHULUAN Latar Belakang

BAB III METODOLOGI PENELITIAN

Manajemen Informatika, Fakultas Teknik, Universitas Trunojoyo Madura Telp

BAB I PENDAHULUAN. 1.1 Latar Belakang. Perguruan Tinggi (PT) merupakan institusi yang memberikan pelayanan

BAB 2 LANDASAN TEORI. komponen. Melalui pendekatan prosedur, sistem dapat didefinisikan sebagai

PENERAPAN COBIT FRAMEWORK UNTUK MENILAI PENGELOLAAN TEKNOLOGI INFORMASI DAN TINGKAT KEPUASAN PELAYANAN (STUDI KASUS PADA KLINIK XYZ YOGYAKARTA)

EVALUASI KEAMANAN DATA PADA BANK PERKREDITAN RAKYAT XYZ MELALUI AUDIT TATA KELOLA TEKNOLOGI INFORMASI BERDASARKAN KERANGKA KERJA COBIT 4.

BAB I PENDAHULUAN 1.1 Latar Belakang

KAJIAN TINGKAT KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI STUDI KASUS: SUKU DINAS KOMUNIKASI DAN INFORMATIKA JAKARTA SELATAN

Audit SI/TI Berbasis Cobit

BAB 6. STANDAR DAN PROSEDUR (BAGIAN KEDUA)

AUDIT SISTEM INFORMASI GRUP ASESMEN EKONOMI DAN KEUANGAN BANK INDONESIA WILAYAH IV DITINJAU DARI IT GOAL 7 MENGGUNAKAN STANDAR COBIT 4.

BAB II TINJAUAN PUSTAKA. Penelitian yang dilakukan tidak terlepas dari hasil penelitian-penelitian

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

PENGGUNAAN FRAMEWORK ITIL DALAM AUDIT PERUSAHAAN TELKOMSEL

PIAGAM AUDIT INTERNAL

BAB IV HASIL DAN PEMBAHASAN. 4.1 Pengumpulan Dokumen BSI UMY Penelitian memerlukan dokumen visi dan misi BSI UMY.

KERANGKA KENDALI MANAJEMEN (KENDALI UMUM)

Model Tata Kelola Teknologi Informasi Menggunakan Framework Cobit Pada Proses Pendidikan Dan Pelatihan Pengguna

Internal Audit Charter

Transkripsi:

UTS SUSULAN AUDIT SISTEM Standar Pengelolaan di Dunia IT Disusun oleh: Nama : Yoga Pratama NIM : 12650014 PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SUNAN KALIJAGA YOGYAKARTA 2014/2015

PENDAHULUAN A. Latar Belakang Berkembangnya dunia teknologi sekarang, menimbulkan persaingan yang ketat perusahaan IT satu dengan lainnya dalam mempertahankan fungsi bisnis mereka. Untuk mempertahankan hal tersebut, tiap perusahaan akan menentukan teknologi yang akan membantu mereka da lam beroperasi. Akan tetapi, teknologi yang digunakan bukanlah sesuatu yang mudah untuk dicapai, dibutuhkan pengesahan atau pengalaman dalam mengoperasikan teknologi tersebut. Hal ini menyebabkan diadakannya sebuah standar penilaian pada teknologi informasi. Dengan adanya standardisasi, organisasi dapat berkembang dengan lebih terarah. Semua anggota organisasi mulai dari programmer, analis, tester, manajer dan direktur mengetahui apa jobdesk masing-masing pribadi. Apa yang harus disediakan bagi pihak lain dan juga apa yang bisa diharapkan dari divisi lain. Dengan demikian, tidak banyak usaha yang sia-sia karena miss-communication atau kurangnya koordinasi. Sayangnya, dunia enterpreneur IT di Indonesia masih jarang yang memperhatikan standardisasi ini, karena adanya beberapa faktor misalnya, tidak mengerti Inggris, standar luar negeri tidak cocok untuk kondisi lokal, standar hanya organisasi merasa monoton dan membosankan. B. Rumusan Masalah 1. Bagaimana cara kerja COBIT? 2. Bagaimana cara kerja ISO/IEC 27002? 3. Bagaimana cara kerja CMMI? C. Tujuan Dengan adanya standar pengelolaan pada bidang teknologi informasi, setiap bagian-bagian penting perusahaan dapat berkoordinasi dengan baik sehingga mengakibatkan tujuan perusahaan dapat berjalan dengan lancar. PEMBAHASAN

A. COBIT 1. Pengertian Cobit Control Objective for Information and related Technology, disingkat COBIT adalah suatu panduan standar praktik manajemen teknologi informasi. Adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT. COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai FrameWork IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Cobit Adalah satu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor faktor lain yang berpengaruh. Cobit Adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association). COBIT memiliki 4 cakupan domain, yaitu : a. Perencanaan dan organisasi (Planning and Organisation) b. Pengadaan dan implementasi (Acquisition and Implementation) c. Pengantaran dan dukungan (Delivery and Support) d. Pengawasan dan evaluasi (Monitoring) Domain 1 : Planning and Organisation Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Langkah-langkah: a. Menetapkan rencana stratejik TI b. Menetapkan hubungan dan organisasi TI c. Mengkomunikasikan arah dan tujuan manajemen d. Mengelola sumberdaya manusia e. Memastikan pemenuhan keperluan pihak eksternal f. Menaksir risiko Domain 2 : Acquisition and Implementation Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis. Langkah-langkah : a. Mengidentifikasi solusi terotomatisasi b. Mendapatkan dan memelihara infrastruktur teknologi c. Mengembangkan dan memelihara prosedur d. Memasang dan mengakui sistem e. Mengelola perubahan

Domain 3 : Delivery and Support Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training. Langkah-langkah : a. Menetapkan dan mengelola tingkat pelayanan b. Mengelola pelayanan kepada pihak lain c. Memastikan pelayanan yang kontinyu d. Memastikan keamanan sistem e. Mengelola konfigurasi/susunan f. Mengelola data g. Mengelola fasilitas Domain 4 : Monitoring Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol. Langkah-langkah: a. Memonitor proses menaksir kecukupan pengendalian internal b. Mendapatkan kepastian yang independen Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor. Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah teknik. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.untuk menpersiapkan proses manajemen dan bisnis dengan model TI governance yang membantu dalam memahami dan memgelola resiko yang berhubungan dengan TI. 2. Kerangka Kerja COBIT Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni: a. Control Objectives Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization, Acquisition & Implementation, Delivery & Support, dan Monitoring & Evaluation. b. Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

c. Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut: i. Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya. ii. Apa saja indikator untuk suatu kinerja yang bagus. iii. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ). iv. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan. v. Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan. vi. Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya. 3. Manfaat dan Pengguna COBIT Secara manajerial target pengguna COBIT dan manfaatnya adalah : a. Direktur dan Eksekutif Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI. b. Manajemen i. Untuk mengambil keputusan investasi TI. ii. Untuk keseimbangan resiko dan kontrol investasi. iii. Untuk benchmark lingkungan TI sekarang dan masa depan. c. Pengguna Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal. d. Auditors i. Untuk memperkuat opini untuk manajemen dalam control internal. ii. Untuk memberikan saran pada control minimum yang diperlukan. B. ISO/IEC 27002 1. Pengertian ISO/IEC 27002 ISO/IEC 27002 adalah suatu standar keamanan informasi yang diterbitkan oleh ISO dan IEC pertama kali dengan nama ISO/IEC 17799:2005 yang berubah menjadi ISO/IEC 27002 pada Juli 2007 untuk menyesuaikan dengan penamaan seri standar ISO/IEC 27000. Nama lengkapnya adalah ISO/IEC 27002:2007 - Information technology - Security techniques - Code of practice for information security management. Versi pertama standar ini, ISO/IEC 17799, merupakan adaptasi dari standar BS 7799-1:1999. ISO/IEC 27002 memberikan rekomendasi praktik terbaik untuk sistem manajemen keamanan informasi (ISMS, information security management system) yang didefinisikan oleh standar ini dalam konteks C-I-A: confidentiality (kerahasiaan), integrity (integritas), dan availabity (ketersediaan). 2. Kerangka Kerja ISO/IEC 27002

a. Kebijakan Pengamanan (Security Policy), mengarahkan visi dan misi manajemen agar kelangsungan organisasi dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan data/informasi penting yang dimiliki oleh perusahaan. Kebijakan pengamanan sangat diperlukan mengingat banyaknya masalahmasalah non teknis seperti penggunaan password oleh lebih dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan sistem keamanan informasi. Kebijakan pengamanan ini meliputi aspek infratruktur dan regulasi keamanan informasi. Hal pertama dalam pembuatan kebijakan keamanan adalah dengan melakukan inventarisasi data-data perusahaan. Selanjutnya dibuat regulasi yang melibatkan semua departemen, sehingga peraturan yang akan dibuat tersebut dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi untuk mendapatkan persetujuan dan dukungan agar dapat diterapkan dengan baik. b. Pengendalian Akses Sistem (System Access Control), mengendalikan/membatasi akses user terhadap informasi-informasi dengan cara mengatur kewenangannya, termasuk pengendalian secara mobilecomputing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada yang meliputi berbagai aspek seperti : i. Persyaratan bisnis untuk kendali akses. ii. Pengelolaan akses user (User Access Management) iii. Kesadaran keamanan informasi (User Responsibilities iv. Kendali akses ke jaringan (Network Access Control) v. Kendali akses terhadap sistem operasi (Operating System Access Control) vi. Pengelolaan akses terhadap aplikasi (Application Access Management) vii. Pengawasan dan penggunaan akses sistem (Monitoring System Access and Use) viii. Mobile Computing dan Telenetworking. c. Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu : i. Prosedur dan tanggung jawab operasional ii. Perencanaan dan penerimaan sistem iii. Perlindungan terhadap software jahat (malicious software) iv. Housekeeping v. Pengelolaan Network vi. Pengamanan dan Pemeliharaan Media vii. Pertukaran informasi dan software. d. Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi. Penelitian untuk pengembangan dan pemeliharaan sistem meliputi berbagai aspek, seperti : Persyaratan pengamanan sistem; Pengamanan sistem aplikasi;

Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan dan proses pendukungnya. e. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security), mencegah kehilangan dan/atau kerusakan data yang diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan informasi yang lain. Pengamanan fisik dan lingkungan ini meliputi aspek : Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum terhadap lingkungan dan hardware informasi. f. Penyesuaian (Compliance), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk perjanjian kontrak melalui audit sistem secara berkala. Aspek-aspek yang diperlukan untuk membentuk prosedur dan peraturan, yaitu : i. Penyesuaian dengan persyaratan legal ii. Peninjauan kembali kebijakan pengamanan dan penyesuaian secara teknis iii. Pertimbangan dan audit sistem. g. Keamanan personel/sumber daya manusia (Personnel Security), upaya pengurangan resiko dari penyalahgunaan fungsi dan/atau wewenang akibat kesalahan manusia (human error), manipulasi data dalam pengoperasian sistem serta aplikasi oleh user. Kegiatan yang dilakukan diantaranya adalah pelatihanpelatihan mengenai kesadaran informasi (security awareness) agar setiap user mampu menjaga keamanan data dan informasi dalam lingkup kerja masingmasing. Personnel Security meliputi berbagai aspek, yaitu : i. Security in Job Definition and Resourcing ii. Pelatihan-pelatihan iii. Responding to Security Incidens and Malfunction. h. Organisasi Keamanan (Security Organization), memelihara keamanan informasi secara global pada suatu organisasi atau instansi, memelihara dan menjaga keutuhan sistem informasi internal terhadap ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu : keamanan dan pengendalian akses pihak ketiga dan Outsourcing i. Klasifikasi dan pengendalian aset (Asset Classification and Control), memberikan perlindungan terhadap aset perusahaan yang berupa aset informasi berdasarkan tingkat perlindungan yang telah ditentukan. Perlindungan aset ini meliputi accountability for Asset dan klasifikasi informasi. j. Pengelolaan Kelangsungan Usaha (Business Continuity Management), siaga terhadap resiko yang mungkin timbul didalam aktivitas lingkungan bisnis yang bisa mengakibatkan major failure atau resiko kegagalan sistem utama ataupun disaster atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan pengelolaan untuk kelangsungan proses bisnis, dengan mempertimbangkan semua aspek dari business continuity management.

Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien. C. CMMI 1. Pengertian CMMI Capability Maturity Model Integration (CMMI) merupakan suatu model pendekatan dalam penilaian skala kematangan dan kemampuan sebuah organisasi perangkat lunak. CMMI pada awalnya dikenal sebagai Capability Maturity Model (CMM) yang dikembangkan oleh Software Enginnering Institute di Pittsburgh pada tahun 1987. Namun perkembangan selanjutnya CMM menjadi CMMI. CMMI mendukung proses penilaian secara bertingkat. Penilaiannya tersebut berdasarkan kuisioner dan dikembangkan secara khusus untuk perangkat lunak yang juga mendukung peningkatan proses. CMMI adalah suatu pendekatan perbaikan proses yang memberikan unsurunsur penting proses efektif bagi organisasi. Praktik-praktik terbaik dipublikasikan dalam dokumen-dokumen yang disebut model, yang masingmasing ditujukan untuk berbagai bidang yang berbeda. CMMI memiliki 4 aturan yang dapat disesuaikan menurut organisasi IT, yakni System Engineering (SE), Software Engineering (SW), Integrated Product Process Development (IPPD) dan Supplier Sourcing (SS). CMMI terdiri dari practices Dalam rangkaian practices ini ada rambu-rambu atau rekomendasi yang diikuti. Practices dalam CMMI dibagi menjadi dua, yaitu Generic Practices (GP) Specific Practices (SP). Bila kita sudah mengimplementasikan practices dengan sempurna kita dianggap sudah memenuhi Goals. Sama seperti practices, ada Generic (GG) dan Specific Goals (SG). SG dan SP dikelompokkan menjadi Process Area (PA). Process Area yang ada sebagai berikut

Saat ini terdapat dua bidang minat yang dicakup oleh model CMMI: development (pengembangan) dan acquisition (akuisisi). Versi terkini CMMI adalah versi 1.2 dengan dua model yang tersedia yaitu CMMI-DEV (CMMI for Development) yang dirilis pada Agustus 2006 dan ditujukan untuk proses pengembangan produk dan jasa, serta CMMI-ACQ (CMMI for Acquisition) yang dirilis pada November 2007 dan ditujukan untuk manajemen rantai suplai, akuisisi, serta proses outsourcing di pemerintah dan industri. CMMI menangani jalan yang harus ditempuh suatu organisasi untuk bisa mengelola proses yang terpetakan dengan baik, yang memiliki tahapan terdefinisi baik. Asumsi yang berlaku di sini adalah bahwa dalam organisasi yang matang, dimungkinkan untuk mengukur dan mengaitkan antara kualitas produk dan kualitas proses. Terlepas model mana yang dipilih oleh suatu organisasi, praktik-praktik terbaik CMMI harus disesuaikan oleh masing-masing organisasi tergantung pada sasaran bisnisnya. Organisasi tidak dapat memperoleh sertifikasi CMMI, melainkan dinilai dan diberi peringkat 1-5. Hasil pemeringkatan penilaian ini dapat dipublikasikan jika dirilis oleh organisasi penilainya. Maturity Level di CMMI ada 5, mulai dari yang terendah Maturity Level 1 hingga Maturity Level 5. Setiap Maturity Level memiliki seperangkat Process Area yaitu Generic Practices (GP) dan Specific Practices (SP) yg harus dipenuhi agar perusahaan berhak menggunakan titel Maturity Level tersebut. Sebagai contoh, bila perusahaan ingin lulus Maturity Level-2, maka perusahaan harus mengimplementasikan 7 process area. Untuk mencapai Maturity Level-3, perusahaan harus mengimplementasikan 7 process area dari Maturity Level-2 ditambah dengan 11 process area dari Maturity Level-3. Demikian seterusnya, sehingga Maturity Level-5 yang sudah mengimplementasikan 22 process area. 2. Klasifikasi CMMI

a. Maturity level 1 Initialized Pada ML1 ini proses biasanya berbentuk ad hoc. Sukses pada level ini didasarkan pada kerja keras dan kompetensi yang tinggi orang-orang yang ada di dalam organisasi tersebut atau dapat juga dikatakan perusahaan ini belum menjalankan tujuan dan sasaran yang telah didefinisikan oleh CMMI. b. Maturity level 2 Managed Pada ML2 ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2. Semua pekerjaan yang berhubungan dengan dengan proses-proses yang terjadi saling menyesuaikan diri agar dapat diambil kebijakan. Setiap orang yang berada pada proses ini dapat mengakses sumber daya yang cukup untuk mengerjakan tugas masing-masing. Setiap orang terlibat aktif pada proses yang membutuhkan. Setiap aktivitas dan hasil pekerjaan berupa memonitor, mengontrol, meninjau, serta mengevaluasi untuk kekonsistenan pada deskripsi yang telah diberikan. c. Maturity level 3 Defined Pada ML3 ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2 dan Level 3. Proses dilihat dengan terjadinya penyesuaian dari kumpulan proses standar sebuah organisasi menurut pedoman-pedoman pada organisasi tersebut, menyokong hasil kerja, mengukur, dan proses menambah informasi lain menjadi milik organisasi. d. Maturity level 4 Quantitatively Managed Pada ML4 ini, sebuah organisasi telah mencapai seluruh specific dan generic goals yang ada pada Level 2, 3, dan 4. Proses yang terjadi dapat terkontrol dan ditambah menggunakan ukuran-ukuran dan taksiran kuantitatif. Sasaran kuantitatif untuk kualitas dan kinerja proses ditetapkan dam digunakan sebagai kreteria dalam manajemen proses. e. Maturity level 5 Optimizing

Pada ML5 ini suatu organisasi telah mencapai seluruh specific dan generic goals yang ada di Level 2, 3, 4, dan 5. ML5 fokus kepada peningkatan proses secara berkesinambungan melalui inovasi teknologi. KESIMPULAN

COBIT adalah fondasi yang berguna untuk membangun suatu lingkungan pengendalian yang berbasis TI. Cakupannya luas, cukup fleksibel bila berintegrasi dengan lingkungan pengendalian bisnis, databasenya dapat dibagi, dan prosedurnya manual. Sangat mungkin untuk membangun complete toolkit untuk mengimplementasikan lingkungan pengendalian berbasis TI. ISO/IEC 27002 sangat berguna dalam menilai sebuah keamanan sistem. Keamanan data/informasi secara langsung maupun tidak langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak. Dalam menentukan level CMMI sebuah perusahaan IT, diperlukan adanya GP dan SP yang telah ditetapkan dari PA setiap level. CMMI membantu sebuah perusahaan IT untuk membangun langkah maju dengan lebih baik, dengan adanya pembagian level kedewasaan maka perusahaan juga dapat mengukur seberapa jauh mereka sudah melangkah dan apa yang bisa menjadi salah satu jaminan bagi mereka dalam menawarkan produknya kepada customer

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan