Matkul Keamanan Informasi_ Review Materi Audit Keamanan Informasi

Audit Keamanan Informasi

Konsep Keamanan Informasi 

Konsep Dasar Terdapat tiga kriteria mendasar dari keamanan teknologi informasi:
  1. Kerahasiaan (confidentiality). Informasi bersifat rahasia dan harus dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan. 
  1. Ketersediaan (availability). Layanan, fungsi sistem teknologi informasi, data dan informasi harus tersedia bagi penggunaa saat diperlukan. 
  1. Integritas (integrity). Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata ”informasi” terkait dengan ”data”. Hilangya integritas informasi berarti data tersebut telah tanpa adanya ijin atau ilegal. Sedangkan untuk penggunaan Sistem Informasi yang terkait pada suatu keamananan negara. Biasanya ditambahkan kriteria tambahan (biasa diterapkan di negara Uni Eropa). Kriteria tersebut adalah: 
  • Ketidakbergantungan (independency). Suatu sistem yang aman dalam pengoperasian dan perawatannya tidak boleh bergantung pada entitas luar. Ketika suatu badan pemerintah bergantung pada entitas luar (apalagi perusahaan/organisasi luar negeri), maka badan tersebut menjadi tidak aman. Adapun istilah lainnya terkait keamanan informasi seperti: 
  • Autentikasi. Pada saat seseorang log in ke dalam sistem, sistem tersebut akan menjalakan pemeriksaan proses autentikasi untuk memverifikasi identitas orang tersebut. 
  • Autorisasi. Merupakan proses pemeriksaan apakah seseorang, komponen TI atau aplikasi diberikan otoritas/ijin untuk menjalan aksi tertentu. 
  • Perlindungan data. Merujuk pada perlindungan data personal terhadap penyalahgunaan dari pihak ketiga.
  • Keamanan data. Merujuk pada perlindungan data terkait dengan kebutuhan atas kerahasiaan, ketersediaan dan integritas. 
  • Cadangan Pendukung (Backup) Data. Melibatkan tindasan atau copy dari data yang ada untuk mencegah kehilangan atau kerusakan data aslinya/utama. 
  • Pengujian penetrasi. Pengujian dengan mensimulasikan serangan terhadapa sistem TI. Digunakan untuk menguji efisiensi perlindungan keamanan (safeguards) yang ada. 
  • Penilaian atau Analisis Resiko: Menyediakan informasi atas probabilitas dari kejadian kerusukaan dan konsekuensi negatif dari kerusakan. 
  • Kebijakan Keamanan: Dalam kebijakan keamanan, tujuan dari keamanan diformulasikan sesuai dengan kebijakkkan masing masing institusi baik swasta maupun pemerintah.
  • efisiensi. 
  • keamanan. 
  • kebenarannya 
Faktor Keamanan Utama - Ada 7 (tujuh) faktor perlindungan keamanan utama yang perlu dipertimbangkan:
  • Pendekatan sistematik atas keamanan TI 
  • Keamanan sistem TI 
  • Jaringan dan koneksi internet 
  • Faktor manusia 
  • Perawatan sistem TI: penanganan atas update yang relevan dengan keamanan 
  • Penggunaan mekanisme keamanan: penanganan password dan eksripsi 
  • Perlindungan atas bencana dan kerusakan oleh elemen-elemen 
  • Aspek keamanan TI harus dipertimbangkan secara jelas di awal semua proyek 
  • Perlu dipertimbangkan pendekatan solusi alternatif, ketika keterbatasan sumber daya 
  • Tujuan keamanan TI dalam rangka pendefinisian safeguard harus dispesifikasikan. 
  • Perlu dilakukan kontrol yang baik untuk setiap tujuan keamanan dan safeguard yang sesuai dengannya 
  • Rencana aksi harus memiliki prioritas yang jelas, sebagaimana harus adanya tujuan keamanan dan safeguards 
  • Beberapa prasyarat celah keamanan yang harus dihindari. 
  • Tanggung jawab harus didefinisikan. 
  • Adanya kebijakkan keamanan dan tanggung jawab harus diketahui. 
  • Keamanan TI harus diperiksa secara reguler. 
  • Rutinitas kerja yang ada dan kebijakan keamanan untuk menjamin kesesuaian dan efisiensi perlu diperiksa secara reguler. 
  • Manajemen keamanan yang penuh, dalam jangka panjang perlu direncanakan.
  • Dokumentasi kebijakkan keamanan dalam konsep keamanan harus ada.
  • Mekanisme perlindungan keamanan yang ada harus digunakan. 
  • Perangkat lunak anti virus dalam organisasi TI harus digunakan. 
  • Kemungkinan akses data untuk kebutuhan level yang minimum harus dibatasi. 
  • Peran dan profil ke semua pengguna sistem harus ditunjuk. 
  • Previlages administrator harus dibatasi untuk ke hal yang lebih penting 
  • Program privilages harus dibatasi. 
  • Setting/aturan standar dari pabrik perangkat keras/lunak harus dilakukan modifikasi secukupnya 
  • Dokumentasi produk dan manual harus dibaca. 
  • Dokumentasi sistem dan rincian instalasi harus dibuat dan diperbaharui. 
  • Firewall keamanan harus memenuhi kebutuhan minimum tertentu yang ditetapkan 
  • Data yang diberikan untuk pihak luar harus dibatasi hingga ke tingkat minimum. 
  • Fungsionalitas program dan layanan yang diberikan untuk pihak luar harus dibatasi hingga ke tingkat minimum 
  • Tidak diperbolehkan aksi yang beresiko, terutama terkait dengan penanganan web browser 
  • Perlu dilatihnya peringatan tertentu terkait dengan attachment e-mail untuk mencegah masuknya malware lewat email. 
  • Stand-alone PC digunakan untuk selancar internet merupakan solusi berbiaya ringan untuk kebanyakkan masalah keamanan terkait internet. 
  • Kebutuhan dan kebijakkan keamanan harus diikuti dengan baik dan benar 
  • Perlu adanya keketatan dan keteraturan pada ruang kerja dan tidak informasi bersifdat sensitif tidak dengan mudah dapat diakses 
  • Pencegahan khusus harus diambil dalam kasus perawatan dan perbaikan kerja 
  • Perlu adanya pelatihan teratur bagi staff 
  • Perlu adanya penilaian mandiri yang jujur dan untuk beberapa hal perlu mengundang pakar untuk saran dan perbaikan 
  • Perlu adanya audit untuk semua tujuan keamanan 
  • Konsekusensi dari peretasan keamanan harus spesifik dan dipublikasikan 
  • Peretasan keamanan yang terdeteksi harus diberikan reaksi
  • Update keamanan harus diinstal secara reguler 
  • Penelitian rinci harus dilakukan pada periode reguler pada karakteristik keamanan dari perangkat lunak yang digunakan 
  • Perlu adanya rencana aksi untuk menginstal setiap update keamanan 
  • Perlu pengujian pada pengubahan perangkat lunak
  • Perlu dipilihnya secara selektif atas mekanisme keamanan 
  • Password harus dipilih secara aman 
  • Password blank atau password bawaan awal harus diganti 
  • Workstation harus tetap aman walau tanpa kehadirannya pengguna dengan screen saver terproteksi password 
  • Perlu perlindungan atas data dan sistem yang sensitif 
  • Perlu dibuatnya daftar periksa darurat (emergency checklist) dan setiap pengguna harus terbiasa dengannya 
  • Perlu adanya backup reguler untuk semua data penting 
  • Perlu adanya perlindungan yang baik dari api, panas berlebihan, kerusakan karena air dan listrik terhadap sistem TI 
  • Perlu diterapkannya perlindungan anti penerobos dan perlindungan terhadap akses yang ilegal 
  • Perlu dicatat dalam daftar inventaris semua perangkat keras dan perangkat lunak.
  • ISO/IEC 27000:2009 – ISMS Overview and Vocabulary 
  • ISO/IEC 27001:2005 – ISMS Requirements 
  • ISO/IEC 27002:2005– Code of Practice for ISMS 
  • ISO/IEC 27003:2010 – ISMS Implementation Guidance 
  • ISO/IEC 27004:2009 – ISMS Measurements 
  • ISO/IEC 27005:2008 – Information Security Risk Management 
  • ISO/IEC 27006: 2007 – ISMS Certification Body Requirements 
  • ISO/IEC 27007 – Guidelines for ISMS Auditing
  • Kebijakan Keamanan Informasi 
  • Peran dan tanggung jawab organisasi keamanan informasi 
  • Klasifikasi informasi 
  • Kebijakan Pengamanan Akses Fisik dan Lojik 
  • Kebijakan Manajemen Risiko TIK 
  • Manajemen Kelangsungan Usaha (Business Continuity Management) 
  • Ketentuan Penggunaan Sumber Daya TIK
  • Prosedur pengendalian dokumen 
  • Prosedur pengendalian rekaman 
  • Prosedur audit internal SMKI 
  • Prosedur tindakan perbaikan dan pencegahan 
  • Prosedur penanganan informasi (penyimpanan, pelabelan, pengiriman/pertukaran, pemusnahan)
  • Prosedur penanganan insiden/gangguan keamanan informasi 
  • Prosedur pemantauan penggunaan fasilitas teknologi informasi
  • Memeriksa kesesuaian dari mulai kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada 
  • Mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada 
  • Mengidentifikasi dan memahami kelemahan (vulnerability) yang ada
  • Mengkaji kendala keamanan yang ada terhadap permasalahan operasional, administrasi, dan manajerial, dan memastikan kesesuaian dengan bakuan keamanan minimum
  • Memberikan rekomendasi dan aksi perbaikan/koreksi untuk peningkatan
  • Dalam melaksanan audit perlu memperhatikan hal berikut ini, yaitu:
  1. Saat dan frekuensi audit 
  2. Perangkat audit 
  3. Langkah-langkah audit. 
  • Instalasi Baru. Audit yang dilakukan pertama kali setelah implementasi, dalamrangka memastikan konformasi pada kebijakkan dan petunjuk yang ada serta memenuhi bakuan konfigurasi 
  • Audit Regular. Audit ini adalah audit yang dilakukan secara periodik baik manual maupun otomatis dengan menggunakan perangkat dalam rangka mendeteksi lubang (loopholes) atau kelemahan, yang paling tidak dilakukan sekali dalam setahun
  • Audit Acak: Audit ini dilakukan dengan melakukan pemeriksaan acak dalam rangka merefleksikan dengan praktik sesungguhnya 
  • Audit di Luar Jam Kerja: Audit ini dilakukan untuk mereduksi resiko pengauditan dengan melakukannya di luar jam kerja, biasanya pada malam hari.
  1. Perencanaan 
  2. Pengumpulan data audit 
  3. Pengujian audit 
  4. Pelaporan hasil audit 
  5. Perlindungan atas data dan perangkat audit 
  6. Penambahan dan tindak lanjut
  • Ruang lingkup dan tujuan 
  • Kendala 
  • Peran dan tanggung jawab
  • Keamanan internet 
  • Keamanan umum dari jaringan internal 
  • Sistem tugas kritis 
  • Keamanan host 
  • Keamanan server jaringan seperti web server, email server, dan lain lain
  • Komponen dan devais jaringan seperti firewall, router, dan lain lain
  • Keamanan umum dari ruang komputer
Adapun tujuan dari audit keamanan diantaranya adalah:
  • Memberikan kesesuaian /kepatuhan dengan kebijakkan keamanan sistem
  • Memeriksa dan menganalisa pengamanan sistem dan lingkungan operasional kerja 
  • Menilai implementasi teknis dan non teknis dari rancangan keamanan
  • Memvalidasi wajar atau tidaknya integrasi dan operasi dari semua fitur keamanan.
  • Mengidentifikasi dan verifikasi lingkungan yang ada dan sedang berjalan melalui dokumentasi, wawancara, pertemuan/rapat, dana telaah manual
  •  Mengidentifikasi area atau operasi yang signifikan/berarti yang terkait dengan proses audit 
  • Mengidentifikasi kendali umum yang mungkin berdampak pada audit 
  • Memperkirakan dan mengidentifikasi sumber daya yang diperlukan seperti perangkat audit dan tenaga kerja 
  • Mengidentifikasi proses khusus atau proses tambahan untuk audit. Dalam proses audit, perlu adanya kendali dan otorisasi sebelum dimulai dan perlu dibangunnya jalur komunikasi antara klien dengan auditor.  
  • Harus memadai untuk investigasi di masa depan atas insiden keamanan
  • Harus baik dalam penyimpanan dan perlindungan data dari akses yang ilegal/tidak terotorisasi 
  • Harus dengan baik diproses dengan perencanaan penanganan data.
  • Files logging: menyimpan data audit dalama file read/write, sebagai contoh: informasi sistem start up dan shutdown; percobaan logon dan logout, eksekusi command (perintah), dan lain lain 
  • Laporan: mencetak data audit dalam bentuk laporan, sebagai contoh: jurnal, summaries, laporan lengkap, laporan statistik. 
  • Write-once storage: data disimpan pada media sekali cetak seperti: CD-ROM/DVD-ROM.
  • Telaah umum atas kebijakkan atau bakuan keamanan yang ada menurut pada cakupan audit yang ditentukan 
  • Telaah umum atas konfigurasi keamanan 
  • Penyelidikan teknis dengan menggunakan perangkat otomasi berbeda untuk mendiagnosa telah atau pengujian penetrasi.
  • Manajemen TI, 
  • Manajemen eksekutif,
  • Administrator sistem 
  • Pemilik sistem.
  • posisi independen dalam struktur organisasi (untuk mencegah konflik kepentingan) 
  • hak untuk berbicara langsung kepada pihak manajamen, dan 
  • memilki kemampuan yang cukup dan memenuhi dalam bidang keamanan informasi. 
  • Tujuan strategis yang dicapai dari audit IS 
  • Ordinansi dan regulasi legal yang mungkin 
  • Pengorganisasi audit IS dalam suatu organisasi 
  • Sumber daya (baik waktu, keuangan, dan manusia/personil) 
  • Pengarsipan dokumentasi 
  • Audit parsial IS untuk proses bisnis yang kritis harus direncanakan. Proses bisnis yang kritis, khususnya yang memerlukan ketersediaan tinggi (High Availability) harus lebih sering dilakukan. Interval audit harus dengan benar dilakukan untuk hal kritis yang khusus. 
  • Audit parsial IS tambahan dapat dilakukan, misalnya pada saat hal berikut: pemeriksaan mendalam setelah terjadinya kecelakaan keamanan, setelah penerapan prosedur baru, atau pada saat perencanaan restrukturisasi.
  • Tim Audit IS Internal. Perlu dibentuknya tim audit IS internal yang tergantung pada tipe dan ukuran suatu organisasi. Dengan menugaskan beberapa orang untuk melakukan audit IS akan memberikan keuntungan tersedianya pengetahuan dari kompleksitas struktur dan prosedur organisasi.
  • Kerjasama antara Tim Audit IS. Karena tidak semua organisasi dapat membentuk tim audit internal yang lengkap, perlu dilakukannya kerjasama dengan tim audit dari organisasi lainnya, seperti penukaran pakar keamanan. 
  • Departemen/Divisi Tim Audit IS. Dengan membentuknya departemen/divisi khusu yang melakukan audit IS. 
  • Penyedia layanan audit IS eksternal. Pihak eksternal yang menyediakan layanan audit.
  • Objectiviy 
  • Impartiality 
  • Reproducibility 
  • Repeatability
  • Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan publik, Pengamanan Pusat Data, pengembangan aplikasi, penggunaan jaringan dan fasilitas email, dan sebagainya.
  • Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang. 
  • Lokasi kerja. Misalnya: Tingkat Pusat, daerah atau keduanya. Mana saja lokasi yang dipilih untuk menerapkan audit SMKI? Apakah audit SMKI akan langsung diterapkan ke seluruh lokasi kerja? Atau apakah diterapkan secara bertahap dengan memprioritaskan pada lokasi tertentu terlebih dahulu? 
Penetapan ruang lingkup ini harus didiskusikan dengan Satuan Kerja terkait dengan memperhatikan tingkat kesiapan masing-masing termasuk ketersediaan sumber daya yang diperlukan untuk membangun dan menerapkan audit SMKI.
  • Wawancara (pertanyaan verbal) 
  • Inspeksi visual suatu sistem, lokasi, ruang, kamar, dan objek 
  • Observasi 
  • Analisis file/berkas (termasuk data elektronik) 
  • Pemeriksaan teknis (misal menguji sistem alarm, sistem kontrol akses, aplikasi) 
  • Analisis Data (misal log files, evaluasi database, dll)
  • Pertanyaan tertulis (misal, kuesioner).
  • Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003) 
  • ISO/IEC27005 - Information Security Risk Management yang telah diadopsi menjadi SNI 
  • Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004 d. NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.
Catatan: Sasaran keamanan ini belum lengkap. Masing-masing instansi/lembaga dapat menambahkan sasarannya sesuai dengan hasil kajian risiko dan skala prioritas yang ditetapkan.  
  • Tatap muka di dalam kelas 
  • Simulasi langsung di lokasi kerja 
  • Penyampaian brosur, leaflet, spanduk untuk meningkatkan kepedulian karyawan
  • Penggunaan email, nota dinas, portal atau majalah internal 
  • Media komunikasi lainnya
  • materi, 
  • daftar hadir, 
  • hasil pre/post test, 
  • laporan evaluasi pelatihan ataupun 
  • sertifika 
  • Persetujuan investasi proyek (untuk proyek outsource atau kegiatan yang memerlukan anggaran) 
  • Persyaratan keamanan aplikasi (syarat password minimum, session time-out, otentikasi, dan sebagainya)
  • Non Disclosure Agreement (perjanjian menjaga kerahasiaan) untuk pihak ketiga
  • Manajemen Perubahan (Change Management)
  • Lisensi dan standar software yang digunakan. 
  • Perlindungan informasi rahasia harus dijamin dan mematuhi kebutuhan kerahasiaan dalam area kritis keamanan 
  • Sangat penting akan informasi yang benar 
  • Tugas utama tidak dapat dilakukan tanpa TI. Waktu reaksi yang tanggap untuk keputusan kritis mensyaratkan kehadiran/kemunculan yang konstan dari informasi up-date; downtime merupakan suatu keadaan yang tidak dapat diterima 
  • Perlindungan atas data personal mutlak harus dijamin. Karena dikhawatirkan resiko kecelakaan atau kematian dapat terjadi pada pihak yang terlibat, atau dapat membahayakan kebebasan personil pihak yang terlibat. 
  • Perlindungan atas informasi rahasia harus memenuhi persyaratan tinggi, dan bahkan lebih kuat untuk area kritis keamanan Informasi yang diproses harus benar; error/kesalahan harus terdeteksi dan dapat dihindari  
  • Ada prosedur waktu kritis atau multitude dari tugas yang dilakukan dalam area pusat suatu organisasi yang tidak dapat dilaksanakan tanpa penggunaan TI. Hanya downtime singkat yang dapat ditoleransi. 
  • Perlindungan atas data personal harus memenuhi persyaratan tinggi. Jika tidak, akan ada resiko sosial maupun keuangan bagi pihak yang terlibat atau terkena dampak.
  • Perlindungan informasi hanya dimaksudkan untuk penggunaan internal juga harus dijamin 
  • Error/kesalahan kecil dapat ditoleransi. Error signifikan yang mempengaruhi kemampuan untuk melakukan tugas harus terdeteksi dan dapat dihindari. 
  • Downtime tambahan yang mengarah pada lewatnya tenggat waktu, tidak dapat ditoleransi 
  • Harus adanya penjaminan data personil. Jika tidak, maka akan ada resiko sosial atau keuangan yang terjadi.
Perlu dicatat, bahwa setelah menentukan level keamanan yang diinginkan, beberapa pertanyaan masih perlu dijawab oleh pengelola sistem: 
  • Informasi apa yang kritis bagi organisasi yang terkait kerahasiaan, integritas, dan ketersediaan? 
  • Tugas kritis apa dalam organisasi yang tidak semuanya dapat dilakukan, hanya dilakukan secukupnya, atau hanya dapat dianggap sebagai usaha tambahan tanpa dukungan TI? 
  • Keputusan esensial apa yang diambil dalam organisasi yang bergantung pada kerahasiaan, integritas, dan ketersediaan informasi dan sistem pemrosesan informasi? 
  • Efek apa yang mungkin dari kejadian keamanan yang tidak diinginkan? 
  • Sistem TI apa yang digunakan untuk memproses informasi yang membutuhkan perlindungan khusus terkait kerahasiaan? 
  • Apakah keputusan kunci/penting yang bergantung pada kebenaran, kemutakhiran (up-dateness), dan ketersediaan informasi yang diproses menggunakan TI? 
  • Persyaratan legal apa atas hasil dari perlindungan? 
Sumber Daya Manusia Tim Audit  
  • Etika Profesi - Untuk mendapatkan kepercayaan dalam proses audit IS, perlu adanya etika profesional yang dimiliki dan dijalankan oleh individu yang melaksanakan dan institusinya. Adapun prinsip etika diantaranya adalah sebagai berikut: 
  • Jujur dan RahasiaKejujuran adalah dasar dari kepecayaan dan akan membentuk kehandalan (reliabilitas) dari penilaian. Dan kerahasiaan juga menjadi hal yang penting, karena proses bisnis dan informasi bersifat bergantung pad keamanan informasi, oleh karena itu prinsip kerahasiaan sangat diperlukan menyangkut hasil audit. Auditor IS harus sadar akan nilai suatu informasi yang diterima dan diketahuinya, oleh karena itu tidak diperkenankan membuka informasi tanpa ijin dari pemiliknya kecuali terkait dengan peraturan/hukum dan kepentingan profesional jika diperlukan. 
  • Kepakaran dalam ilmu. Audior IS hanya menerima pekerjaan yang sesuai dengan kepakarannya. Harus senantiasa meningkatkan pengetahuan, efektifitas, dan kualitas dari pekerjaan. 
  • Teliti dan objektif. Auditor IS harus mampu mendemonstasikan objektifitas dan ketelitian kepakarannya pada level yang paling tinggi dan pada saat mengumpulkan, mengevaluasi dan memberikan informasi pada proses bisnis dan aktifitas auditnya. Evaluasi pada segala kemungkinan pekerjaan auditnya tidak boleh memimak dan dipengaruhi oleh kepentingan/keinginan pemiliknya atau orang lain. 
  • Presentasi objektif. Auditor IS harus dapat melaporkan hasil penilaiannya secara tepat dan jelas serta jujur kepada kliennya. Presentasi yang mudah dimengerti dan imparsial serta sesuai fakta harus dilakukan atas laporannya. Serta harus dapat menyampaikan evaluasi atas fakta temuannya, rekomendasi khusus/spesifik untuk meningkatkan proses dan perlindungan (safeguards). 
  • Verifikasi dan reproduksibilitas. Harus dapat melakukan verifikasi dan memilki kemampuan untuk mereproduksi dengan mengikuti dokumentasi dan metodologi reproduksi (rencana audit IS, laporan audit IS) dalam menuju suatu kesimpulan. 
  • Memeriksa latar belakang dan kualifikasi dari vendor pendukung dan auditor keamanan untuk melihat apakah memiliki pengalaman dan keahlian khusus. 
  • Mempersiapkan perjanjian untuk kerjasama dengan vendor pendukung yang, seperti disclaimer liability , detail layanan, pernyataan non-disclosure, sebelum memulai satu kegiatan audit atau penilaian. Hal ini penting ketika memutuskan untuk melakukan pengujian penetrasi eksternal, misalkan peretasan/hacking ke dalam jaringan internal dari Internet. 
  • Menugaskan staf sebagai kontak utama atau tambahan dengan vendor 
  • Menyediakan daftar kontak ke vendor yang dapat dihubungi pada saat jam kerja atau bukan jam kerja, jika dibutuhkan 
  • Dapat bekerjasama dan berfikiran terbuka
  • Mengijinkan akses fisik dan logikal hanya ke sistem, jaringan atau peralatan komputer yang penting untuk melakukan evaluasi, dan melindungi semua aset yang dapat terkena dampak dengan layanan/kegiatan tersebut. 
  • Mendapatkan peringatan atau pemberitahuan formal dari vendor mengenai tingkat/level dampak atau kerusakan pada jaringan, layanan atau sistem pada saat pengujian, sedemikian hingga skema recovery dan prosedur penanganan kejadian dapat dijalankan sebelum kejadian. 
  • Memberikan tanggapan/respon terhadap permintaan auditor keamanan IS sepanjang dalam waktu yang sesuai 
  • Memberikan ruang kerja yang memadai beserta peralatannya bagi vendor atau tim audit dalam menjalankan tugasnya 
  • Menyediakan semua dokumen yang diperlukan sesuai dengan area audit atau penilaian yang disepakati 
  • Memiliki hak untuk mengadakan rapat/pertemuan dengan vendor untuk proses kontrol dan review 
  • Melakukan perubahan atau penambahan pada kesempatan awal, terutama pada hal yang beresiko tinggi
Tanggung Jawab Auditor SI - Auditor IS seharusnya memiliki tanggung jawab sebagai berikut: 
  • Memiliki keahlian dan kepakaran yang sesuai/dibutuhkan 
  • Mengetahui dampak dari setiap perangkat dan memperkirakan dampaknya ke klien yang sesuai dengan kebutuhan bisnis 
  • Memilki otoritas/ijin tertulis dari pihak terkait seperti dari ISP dan kepolisian, terutama pada pengujian peretasan/hacking 
  • Mendokumentasikan setiap pengujian apapun hasilnya, baik sukses maupun tidak 
  • Menjamin bahwa laporan sesuai dengan kebutuhan dan kebijakkan klien 
  • Memberikan penilaian yang baik dan melaporkan dengan segera setiap resiko signifikan yang ditemukan kepada klien.
 Bakuan Pelaksanaan Audit Keamanan Informasi
  1. Langkah 1. Pada prosedur awal, penentuan kondisi umum perlu dilakukan dan dokumen pendukung perlu disiapkan untuk bahan rapat terbuka institusi dengan tim audit IS.
  1. Langkah 2. Dengan dokumen pendukung yang telah diterima pada langkah 1, tim audit akan memperoleh gambaran besar institusi/organisasi yang akan diperiksa dan membuat rencana audit IS. 
  1. Langkah 3. Berdasarkan rencana audit IS yang dibuat, maka dilakukan penilaian konten/isi dokumen yang ada. Apabila diperlukan, dokumen lainnya akan diminta untuk penilaian. Berdasarkan pada dokumen revisi dan rencana audit IS (dimana telah di update selama proses audit berlangsung), terminologi kronologis dan organisasi pada pemeriksaan langsung di tempat (onsite) dikordinasikan dengan penanggung jawab (contact person) yang ditunjuk sebagai perwakilan organisasi/institusi.
  1. Langkah 4. Pemeriksaan langsung di tempat (on-site) dimulai dengan rapat terbuka yang dihadiri oleh partisipan utama. Setelah itu, akan dilakukan wawancara, lokasi akan diinspeksi/dikunjungi, dan evaluasi permulaan dilaksanakan. Fase pemeriksaan on-site diakhiri dengan rapat tertutup. 
  1. Langkah 5. Informasi yang diperoleh dari pemeriksaan on-site dikonsolidasikan dan dievaluasi lebih jauh oleh tim audit IS. 
  1. Langkah 6. Hasil dari audit IS diringkas dalam laporan audit IS pada akhir telaah/review. Perkiraan jumlah kerja yang diperlukan untuk setiap langkah harus berdasarkan pada jadwal pada berikut ini:
  • Diagram Struktur Organisasi (Organigram) 
  • Konsep kerangka kerja (framework) TI 
  • Jadwal Pertanggungjawaban 
  • Konsep Keamanan. Konsep keamanan adalah dokumen utama dalam proses dan konten keamanan, seperti rencana jaringan, analisis struktur, definisi kebutuhan perlindungan, analisis keamanan tambahan, pemeriksaan keamanan dasar. 
  • Ekspor database manajemen keamanan informasi, jika memungkinkan 
  • Kebijakkan Keamanan. Pihak manajemen bertanggung jawab atas fungsi organisasi yang berjalan layak dan efisien dan juga menjamin keamanan informasi baik internal maupun eksternal. Untuk alasan tersebut, pihak manajemen harus memulai kontrol,dan memandu atau proses keamanan informasi. Hal tersebut termasuk diantaranya mengeluarkan pernyataan strategis menyangkut keamanan informasi, spesifikasi konseptual, dan kondisi umum organisasi dalam rangka untuk mencapai level keamanan informasi yang diinginkan dalam seluruh proses bisnis. 
  • Daftar Proses Bisnis yang penting. Daftar tersebut haruslah ditampilkan karena merupakan kepentingan pilihan dari objek target dan pemutakhiran (up-date) dari rencana audit IS dengan pendekatan berbasis resiko berikut. 
  • Jika memungkinkan, diperlukan adanya laporan audit IS dari enam (6) tahun sebelumnya.
Langkah 2 - Implementasi audit - Langkah ini pada dasarnya adalah pembuatan rencana audit IS dan tahapan pemindaian dokumen. Semua dokumen rujukan harus diperiksa kelengkapan dan kemutakhirannya (up-date-ness). Pada saat mengevaluasi kemutakhiran dokumen, sebagai catatan, bahwa beberapa dokumen akan lebih umum (generik) dibandingkan dokumen lainnya,oleh karena itu diperlukan untuk dan tergantung pad dokumen tersebut. Bagaimanapun, suatu institusi/organisasi harus mengevaluasi seluruh dokumen secara reguler untuk melihat apakan sudah sesuai dengan keadaan sekarang/yang berlaku. Tim audit IS memeriksa prosedur tersebut dengan penyaringan apakah sesuai atau tidak dengan membandingkannya dengan hasil pemeriksaan langsung (on site). Untuk faktor kelengkapan, konten/isi dari dokumen diperiksa untuk melihat jika semua aspek telah didokumentasi dan jika adanya penugasan yang sesuai. Dokumen yang ditampilkan haruslah komprehensif untuk tim audit IS. Dengan penyaringan dokumen, tim audit IS akan mendapatkan gambaran tugas-tugas utama, organisasi itu sendiri, dan penggunaan TI dalam organisasi yang diperiksa. Berdasarkan hal-hal tersebut di atas, tim audit mulai membuat rencana audit IS. Dimana rencana tersebut merupakan perangkat (tools) utama yang digunakan dalam keseluruhan audit, dan mendokumentasikan semua aktifitas audit. 
Langkah 3 - Audit Operasional - Pemeriksaan dokumen dilaksanakan dengan dasar atas perlindungan yang spesifik dalam rencana audit IS. Pemeriksaan dokumen utamanya berfokus pada kelengkapan (completeness) dan pemahaman atas dokumen. Dalam pengertian kelengkapan, dokumen harus diperiksa untuk menjamin semua aspek utama (seperti sistem, jaringan, aplikasi TI, dan ruangan) terdokumentasi dan peran yang dijelaskan sudah ditugaskan secara aktual. Evaluasi kelayakan mencakup antara lain, evaluasi personil, organisasi, dan perlindungan teknik dalam lingkup keefektifannya. Untuk mengevaluasi kelayakan dari perlindungan, pertanyaan berikut ini seharusnya dijawab: 
  • Ancaman apa yang seharusnya direduksi dengan penerapan perlindungan (safeguards) 
  • Apakah resiko sampingan/residual yang harus diambil oleh organisasi? Apakah level resiko sampingan dapat ditangani organisasi menurut dokumen yang ada? 
  • Apakah perlindungan yang ada sesuai dan dapat secara aktual diterapkan dalam prakteknya? 
  • Apakah perlindungan dapat diaplikasikan, mudah dipahami, dan tidak cenderung mengakibatkan error?
Dokumen yang dipresentasikan harus dapat dipahami komprehensif oleh tim audit IS. Alasan atas keputusan yang dibuat organisasi harus disediakan dan tercantum dalam dokumen yang diperiksa. Bagian kecil dari perlindungan yang diperiksa dapat dievaluasi dengan lengkap sebelumnya dalam fase pemeriksaan dokumen. Rencana audit IS harus dilengkapi oleh hasil perlindungan dari perbedaan yang ditemukan pada saat pemeriksaan dokumen. Untuk setiap perlindungan dalam rencana audit IS, pertanyaan utama yang perlu dijawab dikumpulkan dalam spesifikasi teknis audit yang digunakan, dan partner wawancara dalam organisasi untuk pemeriksaan langsung di lokasi (on-site). Setelah itu, pertanyaan ini perlu dilakukan konsolidasi. Hal tersebut berarti bahwa pertanyaan mengenai perlindungan harus diurutkan, dan jika mungkin, menurut rekan wawancara diringkas menurut sistem yang diperiksa, dan pertanyaaan yang redundan dihilangkan. Hal tersebut akan memudahkan prosedur audit IS, meningkatkan kemudahan pemahaman atas hasil, dan diberikan pada dokumen pengujian aksi. Dalam kerjasama dengan dengan staff penghubung dari organisasi yang diperiksa, tim audit IS bekerja diluar waktu penjadwalan untuk pemeriksaan langsung (on-site) yang tercakup dalam rencana audit IS. Staff penghubung dalam organisasi yang diperiksa bertanggung jawab untuk penjadwalan koordinasi dan menyediakan ruangan yang dibutuhkan apabila perlu. Rencana audit pada saat ini terdiri dari hal-hal berikut ini:
Langkah 4 - Audit Infrastruktur - Langkah ini dilakukan dengan pemeriksaan di lokasi (on site). Tujuan dari pemeriksaan langsung di lokasi adalah untk membandingkan dan memeriksa dokumen yang dsajikan, seperti konsep dan panduan, dengan kondisi aktual di lokasi sehingga dapat dilihat apakah keamanan informasi digaransi dalam bentuk yang cukup dan praktis dengan jenis perlindungan yang dipilih. Namun pada pelaksanaannya, tim audit IS tidak harus mutlak berpaku setiap saat pada rencana audit IS. Mungkin dan wajar pada suatu waktu melewatkan beberapa bagian dari rencana audit. Hal tersebut merupakan kasus yang terjadi dikarenakan perlindungan untuk sampel pertama yang direview tidak diimplentasikan dengan baik dan cukup, yang berarti perlu dilakukan pengujian mendalam. Selain pengujian mendalam perlu diperlukan pengujian lebih jauh untuk mencari kesenjangan (gap) keamanan. Rencana audit IS perlu dilakukan pemutakhiran atasnya. Keputusan untuk membatalkan atau memperluas pemeriksaan objek target modul atau perlindungan merupakan diskresi dari tim audit IS. Perluasan pemeriksaan merupakan suatu keharusan, yang bagaimanapun juga tetap ada pembatasan atas objek audit sesuai dengan spesifikasi dalam kontrak dengan manajemen. Tim audit IS mengadakan rapat pembukaan pada permulaan pemeriksaan on-site dengan pihak manajemen institusi/organisasi yang bersangkutan diantaranya, baik orang yang bertanggung jawab akan audit IS, Kepala TI, dan petugas TI. Jika dibutuhkan, dimungkin juga rapat dihadiri perwakilan dari bagian lain. Pada saat rapat perlu dijelaskan oleh mengenai objek audit dan prosedur audit. Tim audit harus mempresentasikan mengenai dokumen apa saja yang diperlukan untuk memperlancar proses audit IS. Perlu dijelaskan juga dalam rapat mengenai anggota tim auditor, waktu pemeriksaan, regulasi akses, dan jam kerja. Rencana audit IS yang digunakan oleh tim audit IS berperan sebagai perangkat bantuan yang bertujuan mempercepat proses pengerjaan, dan digunakan untuk mendokumentasikan kegiatan pengujian yang dilakukan. Pengujian dilaksanakan pada permulaan menggunakan teknik audit yang dipilih, biasanya dalam bentuk wawancara dan inspeksi. Tim audit IS tidak dapat langung mengintervensi langsung ke sistem, terutama ketika sistem dan metode yang rumit atau karena ukuran data yang sangat besar telah berjalan. Untuk mengatasinya, tim dapat meminta informasi pendukung seperti berkas atau dokumentasi elektronik untuk proses evaluasi lebih lanjut. Tetap, tim audit IS harus ter-up-date setiap saat. Jika tim audit menemukan adanya deviasi atau penyimpangan dari status dokumen yang ada pada saat pemeriksaan sampel, oleh karena itu perlunya penambahan jumlah sampel untuk mendapatkan penjelasan yang beralasan. Pemeriksaan hanya bisa berhenti manakala penjelasan mengenai alasan deviasi sudah dapat terjawab. Selama pemeriksaaan berlangsung, semua fakta seperti spesifikasi sumber daya dan informasi dari dokumentasi yang diminta baik dalam hasil wawancara atau dokumen tertulis. Bantuan teknis seperti foto dan screen shot dapat digunakan untuk dokumentasi. Semua sumber daya dokumentasi teknis harus disetujui oleh pihak manajemen institusi dan hanya dapat digunakan dengan ijin. Pada akhir pemeriksaan on-site, semua hasil sementara, sisa kerja dan prosedur yang belum terlaksana perlu disampaikan dalam rapat penutupan. Pihak terkait seperti Kepala TI, Petugas TI, penanggung jawab TI institusi harus hadir dalam rapat tersebut, termasuk perwakilan bidang/bagian lain jika diperlukan.
Langkah 5 - Evaluasi Audit On-site - Setelah pemeriksaan/audit on-site, informasi yang didapat perlu digabungankan dan dievaluasi. Tahap evaluasi ini dapat pula dilakukan oleh pakar/ahli apabila memerlukan pengetahuan pakar tersebut, jika tim audit tidak dapat menjalankan tahap tersebut. Jika ada kontrak dengan pakar tersebut, perlu dijelaskan dan meminta izin dari institusi yang diperiksa, atau dapat membuat informasi anonim sedemikian dapat ditarik kesimpulan terkait organisasi atau personil. Evaluasi informasi termasuk kedalam evaluasi keseluruhan dari pengujian atas perlindungan (safeguards). Setelah evaluasi dokumen dan informasi lainnya, dilakukan evaluasi final/akhir pada perlindungan yang diuji dan hasil diringkas dalam laporan audit IS.
Langkah 6 - Laporan Audit - Laporan audit IS, termasuk dokumen rujukan, dilaporkan dalam bentuk tertulis untuk diserahkan pada pihak manajemen institusi yang diperiksa, Kepala TI, Penanggung jawab audit, dan petugas TI terkait. Versi draft laporan audit IS diberikan kepada pihak manajemen untuk memverifikasi fakta yang ditemukan oleh tim audit IS. Pihak manajemen institusi yang diaudit bertanggung jawab untuk memastikan bahwa memberikan informasi kepada semua pihak yang terkena dampak terkait hasil audit. Laporan audit IS, minimal terdiri dari isi sebagai berikut: 
  • Ringkasan Eksekutif, 
  • Evaluasi bergambar dari status keamanan informasi 
  • Deskripsi lengkap atas fakta temuan 
  • Evaluasi setiap perlindungan (safeguards) yang diuji. 
 Laporan audit terdiri dari bagian berikut ini:
  1. Bagian 0, terdiri atas informasi institusi/organisasi, misal dasar pengauditan, kronologis per langkah kegiatan audit IS, deskripsi singkat tentang kontrak audit 
  1. Bagian 1, merupakan ringkasan eksekutif/manajemen. Ringkasan ini terdiri dari maksimal dua halaman, isi fakta utama yang ditemukan dalam audit IS dalam bentuk singkat dan menyeluruh, rekomendasi hasil dari fakta temuan. 
  1. Bagian 2, sebagai tambahan bagi ringkasan eksekutif, perlu didukung dengan gambar atau grafik hasil audit. 
  1. Bagian 3, terdiri dari deskripsi detil area pengujian dan fakta temuan berikut detil teknis dan rekomendasi. Disarankan untuk mempersingkat bagian ini sesuai dengan objek target modul dan pengujian perlindungan. Hanya perlindungan yang tidak memadai dan rekomendasi perlindungan keamanan yang perlu dicantumkan di bagian ini. Sebaiknya digunakan visualisasi warna yang menarik/mentereng untuk memberi penekanan mengenai fakta dan rekomendasi.
  • Pada pembuatan laporan audit IS, aspek formal berikut harus dicantumkan. Semua uji yang dilakukan, hasilnya, dan evaluasi hasil harus dokumentasi yang dapat direproduksi dan dimengerti. 
  • Tabel dari isi harus mengandung laporan aktual termasuk apendik (misal: screen shot, gambar, log file, dll). Setiap apendik harus mudah diidentifikasi sehingga pengecekan laporan audit dan apendik dengan lengkap. Semua dokumen rujukan harus didaftarkan 
  • Data yang disimpan, misalkan catatan notulensi rapat atau log file evaluasi yang merujuk pada laporan harus disertakan dalam apendik 
  • Setiap halaman dirancang untuk kemudahan proses identifikasi (misalkan, menggunakan nomor halaman, nomor versi dan judul serta tanggal laporan) 
  • Jika ada perangkat lunak yang digunakan dalam kegiatan audit, misal perangkat untuk analisis, maka perlu dicantumkan jenis dan versinya serta hasil cetaknya. 
  • Terminologi khusus atau singkatan yang tidak biasa digunakan dan muncul dalam laporan, maka perlu ditulis dalam glossary atau indeks singkatan
  • Hasil utama dari laporan audit IS 
  • Status keamanan dan pengembangan status keamanan ditunjukkan dalam laporan audit IS 
  • Tindak lanjut kegiatan
Laporan audit dan dokumen referensi harus disimpan dalam bentuk bebas dari revisi (revision-proof) dari insitusi yang diaudit minimal untuk selama 10 tahun sejak laporan diserahkan. Laporan tersebut menjadi rujukan dasar bagi audit di periode selanjutnya. Kriteria untuk pengarsipan bebas dari revisi adalah sebagai berikut:
  • Ketepatan (Correctness) 
  • Kelengkapan (Completeness) 
  • Perlindungan dari perubahan dan kesalahan 
  • Aman dari kehilangan 
  • Hanya dapat digunakan oleh pihak yang memiliki otoritas 
  • Perawatan untuk setiap periode pengarsipan
  •  Dokumentasi prosedur 
  • Dapat diuji 
  • Dapat direproduks
Tindak Lanjut Audit 
Keuntungan dari penilaian resiko IS dan audit adalah bukan dari rekomendasi yang dihasilkan, namun pada implementasi yang efektif. Ketika rekomendasi diberikan, pada dasarnya pihak manajemen akan merespon untuk penerapannya. Namun, keputusan manajemenlah yang menentukan terjadinya resiko keamanan apabila diterapkan atau tidaknya rekomendasi tersebut. Perlu alasan-alasan yang cukup guna mendukung keputusan yang dibuat. Ada tiga hal penting terkait dengan rekomendasi yang dibuat dalam audit: 
  • Rekomendasi yang berkualitas, dan efektif 
  • Komitmen 
  • Pengawasan dan tindak lanjut 
Auditor IS diperlukan untuk menghasilkan rekomendasi yang berkualitas dan efektif, yang harus memiliki karakteristik berikut ini: 
  • Spesifik dan jelas, mudah dimengerti dan teridentifikasi 
  • Meyakinkan dan persuasif dengan bukti yang cukup 
  • Signifikan (berarti) 
  • Memungkinkan untuk diterapkan  
  • percaya diri atas rekomendasi yang diberikannya dan jika rekomendasi ditindaklanjuti maka seharusnya ada suatu peningkatan yang terjadi 
  • memahami lingkungan kerja unit/departemen berikut kendalanya seperti kendala waktu, sumber daya dan budaya 
  • berkomunikasi melalui jalur yang efektif dan seharusnya dalam memberikan rekomendasi 
  • Staff, merupakan pihak yang secara langsung atau tidak langsung terpengaruh oleh rekomendasi.Seorang staff haruslah: 
  • dimotivasi dan didorong untuk bekerjasama dengan auditor IS
  • diberikan waktu dan sumber daya yang cukup untuk melakukan kerja tambahan dan pengembangan
  • dijamin mendapatkan keuntungan atas suatu rekomendasi 
  • proaktif bukan reaktif terhadap permasalahan keamanan 
  • menyediakan dukungan yang berarti akan proses audit dan penilaian 
  • mengalokasikan sumber daya yang cukup untuk pengembangan 
  • memahami bahwa penindaklajutan merupakan hal yang berharga dan menjadi tanggung jawabnya 
  • mendorong munculnya pengembangan dengan rencana, kendali dan komunikasiyang cukup
  • mempromosikan kesadaran dan pelatihan bagi staff
  • Menyiapkan sistem pengawasan dan tindak lanjut yang efektif 
  • Mengidentifikasi rekomendasi dan mengembangkan rencana tindak lanjut 
  • Melakukan pengawasan aktif dan pelaporan 
Identifikasi Rekomendasi dan Perencanaan - Untuk melakukan pengembangan yang efektif, hal berikut perlu dilakukan:
  • Mengidentifikasi rekomendasi yang kritis, signifikan dan rekomendasi kunci dengan tambahan pengawasan dan kerja maksimal 
  • Mengembangkan rencana tindak lanjut untuk semua rekomendasi; termasuk rencana implementasi, perkiraan waktu, daftar aksi, metode dan prosedur verifikasi hasil 
  • Menekankan pada rekomendasi kunci yang dilaporkan dan menjadi prioritas pada proses tindak lanjut 
  • Menindaklanjuti semua rekomendasi sesuai rencana
Status Aksi dan Kemajuan - Ada beberapa status aksi dan kemajuan: 
  • Aksi belum dimulai 
  • Aksi selesai/lengkap/selesai 
  • Aksi sedang dilakukan dengan tanggal penyelesaian target 
  • Alasan suatu aksi belum dijalankan 
  • Aksi alternatif jika ada perbedaan dari rekomendasi Berikut ini adalah beberapa aksi tindak lanjut sebagai pertimbangan: 
  • Review/telaah rencana implementasi, dokumentasi dan jadwal waktu rencana aksi 
  • Temukan alasan yang kuat kenapa suatu aksi tidak dilakukan 
  • Tetapkan langkah atau tugas tambahan untuk menangani kesulitan teknis, operasional dan manajerial 
  • Temukan rekomendasi alternatif terkait dengan lingkungan yang tidak diharapkan atau ada perubahan persyaratan 
  • Tentukan penyelesaian atau pemberhentian rekomendasi apabila sudah berhasil diterapkan dan diujikan, atau tidak lagi valid atau tidak berhasil walaupun sudah dilakukan aksi lebih lanjut 
  • Menilai keefektifan dari aksi korektif 
  • Melaporkan pencapaian, status dan kemajuan/progress ke pihak manajemen 
  • Eskalasikan ke manajemen apabila dapat diterapkan, terutama ketika implementasi atas rekomendasi kunci tidak cukup atau tertunda.
Pengujian dan Latihan 
Setelah mengetahui konsep manajemen keamanan informasi, dan sebelum memulai secara aktual proses audit IS, manajemen dapat melakukan uji/pengujian dan latihan terlebih dahulu terhadap rencana audit IS yang ditentukan agar proses audit IS nanti dapat berjalan dengan efektif dan efisien serta meminimalkan resiko atau dampak yang mungkin terjadi pada proses audit. Pengujian dan latihan memverifikasi asumsi dasar dari konsep itu berada. Penerapan pengukuran atau paket pengukuran individu memeriksa aspek ketepatan (correctness), dan operasional akan teknologi yang digunakan. Latihan juga menunjukkan jika dokumentasi keberlangsungan bisnis dapat berguna dan juga melihat apakah faktor yang terlibat dapat menjalankan tugas yang diperintahkan pada saat darurat. Latihan-latihan akan melatih prosedur yang dijelaskan dalam rencana audit IS, membuat personil menjalankan aksi yang dibutuhkan secara rutin, dan memverifikasi apakah solusi efisien. Latihan akan meningkatkan waktu reaksi dan menyediakan rasa atau tingkat keamanan bagi pegawai pada saat bekerja menggunakan sistem TI. Karena kecenderungan orang yang bertindak tanpa berfikir secara benar dan rasional ketika terjadinya krisis, maka latihan sangat perlu dilakukan dan jangan pernah dianggap hal yang remeh. Pengujian dan latihan akan selalu terkait dengan faktor waktu dan pengeluaran. Untuk memastikan investasi yang ditanam dalam pengujian dan latihan menjadi hal yang masuk akal, maka perlu adanya suatu rencana. Rencana yang dibuat harus memasukan serangkaian tes dan latihan, tidak hanya satu. Jenis pengujian dan latihan dipilih bergantung pada tipe dan ukuran organisasi beserta lingkungan lokalnya dan harus dipilih dalam bentuk kasus -per-kasus. 
Jenis Uji dan Latihan - Berikut ini adalah beberapa jenis uji dan latihan, mulai dari yang sederhana hingga komplek: 
  • Pengujian pengukuran pencegahan teknis. Untuk menjamin kelayakan dan operasional dan solusi teknis, solusi tersebut haruslah diuji. Sebagai contoh, pengujian baris yang redundant, power supply, restorasi data dari backup data, keandalan cluster, teknologi alarm yang digunakan, infrastruktur teknis atau komponen-komponen TI lainnya. Komponen individual dan masing-masing fungsinya harus diuji secara reguler dan diuji ketika ada perubahan besar akan sistem untuk melihat dan memastikan interoperasinya. 
  • Pengujian fungsi. Jenis uji ini, fungsionalitas dari prosedurprosedur, subproses, dan kelompok sistem dinyatakan dalam sub rencana yang bermacam-macam dari buku tangan (handbook) keberlangsungan bisnis yang akan diperiksa. Selam pemeriksaan berlangsung, prosedur-prosedur, perlu diperiksa terutama menyangkut interoperasi dan ketergantungan dari komponen atau pengukuran yang berbeda. Hal tersebut termasuk diantaranya rencana recovery, rencana restorasi, dan rencana keberlangsungan bisnis untuk pengukuran segera (misal proses evakuasi personil ketika alarm kebakaran berbunyi). 
  • Telaah (review) rencana. Tujuan dari telaah rencana adalah untuk memeriksa rencana individual atas tanggapan akan krisis dan keadaan darurat. 
  • Latihan tabletop. Pengertian latihan tabletop digunakan untuk merujuk pada pemeriksaan teoritis suatu masalah dan skenario di atas meja. Dalam latihan ini, skenario hipotesis diberikan dan kemudian secara teoritis diperiksa. Latihan jenis mudah dalam pelaksanaannya. Latihan ini harus dilakukan berulang kali selama penetapan fase manajemen keberlangsungan bisnis.
  • Latihan tim krisis. Merupakan bentuk khusus dari latihan table top, dalam hal ini latihan dilakukan bekerjasama dengan tim krisis 
  • Latihan command post (ruang kendali). Juga merupakan bentuk lain dari latihan tabletop yang berdasar pada versi tambahan/pengembangan dari latihan tim krisis yang digunakan untuk memeriksa dan melatih kerjasama dalam tim krisis serta memeriksa tingkat kerjasama antara tim krisis dengan tim operasional. Secara umum struktur dari command post diuji dalam latihan praktik yang simultan dengan implementasi operasional secara teoritis  
  • Latihan alam dan komunikasi. Titik kritis pada saat merespon keadaan darurat atau krisis adalah melaporkan dan memperingatkan (alarm) tim krisis dan orang lain yang bertanggung jawab. Oleh karena itu, perlu diperiksa secara reguler akan prosedur pelaporan, eskalasi dan alarming (peringatan). Ruang lingkup dari tes ini mulai dari pemeriksaan sederhana atas sumber daya komunikasi hingga pengumpulan tim krisis dalam ruang pertemuan tim krisis. Dalam uji ini, tanggung jawab dan nomor telepon perlu dicantumkan dalam rencana, seperti halnya strategi eskalasi, prosedur, dan kemampuan menjangkau orang terkait serta aturan pergantian. Contohnya adalah pencantuman dalam rencana untuk komponen: sistem alarm, telepone darurat, SMS, pager,Internet, komunikasi radio atau satelit) 
  • Simulasi skenario. Dalam simulasi realistis, prosedur dan pengukuruan dinyatakan untuk merespon skenario atau kejadian keberlangsungan bisnis harus dilakukan pengujian. 
  • Latihan keberlangsungan bisnis atau skala penuh. Tipe simulasi yang paling komplek adalah latihan keberlangsungan bisnis atau skala penuh. Adalah hal yang harus dilakukan untuk memasukan organisasi eksternal seperti pemadam kebakaran, organisasi bantuan, instansi pemerintahan dalam latihan. Latihan skala penuh berdasarkan situasi realistis dan integrsi semua level hirarki, mulai manajemen hingga ke tingkat bawah seperti karyawan yang perlu dilatih. Rencana dan pengeluaran yang dibutuhkan untuk persiapan, eksekusi, dan evaluasi tidak boleh dianggap sepele. Latihan skala penuh dilakukan apabila ingin dicapainya persyaratan keberlangsungan bisnis tingkat tinggi. Latihan keberlangsungan bisnis dilakukan secara reguler dengan interval waktu yang lebih panjang antara tiap latihan. 
  • Perbandingan tipe latihan berbeda. Berbagai kriteria digunakan untuk membedakan antaa tipe latihan dan pengujian. Yang dapat diklasifikasikan menurut jenis prosedur, kelompok target, lingkup atau perluasan. Terdapat tiga area tanggung jawab untuk kelompok sasaran/target: area strategi, area taktik, dan area operasional. 
Jenis-jenis Audit - Tujuan utama dari audit teknologi informasi (audit TI) awalnya untuk memeriksa sistem akuntansi berdaya dukung TI. Sudut pandang tersebut tidak dapat diterapkan lagi secara maksimal, karena sebagaimana diketahui kebanyakan sistem yang sekarang sudah terkoneksi kuat dalam banyak jaringan dan tingkat ketergantungan yang tinggi anatara sistem dengan proses bisnis. Oleh karena itu, seluruh infrastruktur TI suatu organisasi akan diperiksa manakala menjalankan proses audit TI atau audit IS. Dalam audit TI, selalu diperhatikan tiga kriteria pengujian utama yaitu:

Perbandingan yang mencolok antara audit TI dengan audit IS adalah merupakan kegiatan audit gaya baru, yang menekankan pada pemeriksaan menyeluruh akan keamanan informasi. Hal tersebut dimaksudkan bahwa pada setiap level atau tingkatan, mulai dari pembangunan keamanan informasi suatu organisasi, sampai faktor manusia/personil akan diperiksa dan diuji dengan ketat. Dua kriteria, yakni efisiensi dan kebenaran akan diperiksa pada urutan selanjutnya setelah kriteria keamanan.

Adapun dalam masing masing tujuh faktor tersebut dijelaskan langkahlangkah yang harus/tidak perlu dijalankan dalam penerapan keamanan utama. Secara sistematik beberapa hal harus perlu dipertimbangkan: 

Di dalam menyediakan perlindungan keamanan sistem TI, beberapa hal harus dipertimbangkan, yaitu:

Jaringan dan Koneksi Internet - Jaringan dan koneksi Internet, saat ini sudah tidak terpisahkan sebagai bagian dari suatu pemanfaatan Teknologi Informasi di badan pemerintah. Untuk itu beberapa hal terkait dengan jaringan perlu diperhatikan, antara lain:

Faktor Manusia - Manusia merupakan titik terlemah dalam kaitannya dengan keamanan sistem. Untuk itu faktor manusia harus menjadi perhatian utama di dalam pengelolaan sistem. Beberapa hal perlu diperhatikan:

Perawatan Sistem TI - Perawatan TI tidak saja terkait pada perawatan rutin untuk perangkat keras dan jaringan saja. Tetapi juga meliputi perangkat lunak yang dikenal dengan istilah melalukan ”patching” (penambalan) secara rutin. Pada dasarnya keamanan adalah suatu proses, bukanlah suatu produk. Jadi suatu sistem yang setelah diinstal dengan baik dan menjadi aman, maka tidak dapat selalu menjadi aman bila tidak dilakukan perawatan, penambalan, dan pengkinian yang dibutuhkan. Untuk itu beberapa hal perlu diperhatikan pada saat menentukan stategi perawatan dalam upaya menjaga keamanan sistem adalah sebagai berikut:

Penanganan Password dan Enksripsi - Salah satu penggunaan mekanisme keamanan minimal saat ini adalah password dan enkripsi. Dalam pengelolaan Access Control kepada sumber daya sistem informasi, maka pengguna wajib menggunakan password dan enkripsi. Hal ini bertujuan untuk mengontrol sehingga sistem hanya dapat diakses oleh mereka yang berhak saja. Sedangkan mereka yang tak berhak tak dapat mengakses sistem. Penggunaan password dan enkripsi harus mempertimbangkan hal berikut ini:

Perlindungan atas Bencana dan Kerusakan - Sebaik-baiknya instalasi sistem telah direncanakan dan diimplementasikan, tetapi sebagai pengelola sistem harus mempertimbangkan kemungkinan terburuk yang terjadi. Sebagai contoh beberapa pertimbangan yang perlu dilakukan terhadap terjadinya bencana adalah: 
Standar Sistem Manajemen Keamanan Informasi 

Sejak tahun 2005, International Organization for Standardization(ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. 
Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari: 
Dari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC 27001:2005 yang telah diadopsi Badan Standarisasi Nasional.

Dokumentasi Manajemen Keamanan Informasi 

Struktur Dokumentasi - Pekerjaan audit sistem TI membutuhkan dokumentasi yang baik. Berlandaskan dokumentasi inilah dapat dilakukan assestment serta perbaikan semestinya. Struktur dokumentasi sistem manajemen keamanan informasi pada umumnya terdiri dari 3 (tiga) level/tingkatan antara lain sebagai berikut:


Dokumentasi Tingkat 1 - Dokumen tingkat 1 merupakan dokumen dengan hirarki tertinggi dalam struktur dokumentasi SMKI. Dokumen ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan sistem (development), penerapan (implementation) dan peningkatan (improvement) sistem manajemen keamanan informasi. Dokumen Tingkat 1 paling tidak memiliki bagian yang terdiri dari: 
Dokumentasi Tingkat 2 - Dokumen tingkat 2 ini umumnya meliputi prosedur dan panduan yang dikembangkan secara internal oleh instansi/lembaga penyelenggara pelayanan publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen ini bersifat operasional. Prosedur-prosedur dalam dokumen tingkat 2 meliputi antara lain:Dokumentasi Tingkat 3 - Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis. Instruksi kerja tidak selalu diperlukan untuk setiap prosedur. Sepanjang prosedur sudah menguraikan langkah-langkah aktivitas yang jelas dan mudah dipahami penanggung jawab kegiatan, petunjuk teknis / instruksi kerja tidak diperlukan lagi.

Audit Keamanan Informasi
Audit keamanan adalah sutu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada berjalan dengan baik. Target dari audit ini adalah untuk mencari tau apakah lingkungan yang ada sekarang telah aman dilindungi sesuai dengan kebijakkan keamanan yang ditetapkan. Untuk menjaga independensi hasil audit, audit keamanan informasi harus dilaksanakan oleh pihak ketiga yang terpercaya dan independen. 

Penilaian Resiko Keamanan - Audit Keamanan dan Penilaian Resiko Keamanan (Security Risk Assessment) adalah sesuatu hal yang berbeda dari sisi terminologi asal dan fungsi dalam siklus manajemen keamanan informasi. Penilaian resiko keamanan (PRK) adalah dilakukan pada permulaan tahapan yang dilakukan untuk mengindentifikasi apakah dibutuhkannya pengukuran keamanan dan kapan terjadi perubahan pada aset informasi atau lingkungannya. Sedangkan audit keamanan adalah proses pemeriksaan berulang (repetitif) untuk menjamin bahwa pengukuran keamanan diimplementasikan dengan baik dari waktu ke waktu. Maka itu, audit keamanan biasanya dilakukan lebih sering dibandingkan PRK.

Tujuan Audit Keamanan  - Tujuan utama dari audit keamanan, diantaranya adalah: 
Saat dan Kekerapan Audit  - Audit keamanan harus dilakukan secara periodik untuk memastikan kesesuaian atau kepatuhan pada kebijakkan, bakuan, pedoman, dan prosedur dan untuk menentukan suatu kendali minimum yang diperlukan untuk mengurangi resiko pada level yang dapat diterima. Sebagai catatan, audit keamanan hanya memberikan snapshot dari kelemahan yang diungkapkan pada titik waktu tertentu. Audit keamanan adalah aktivitas yang terus berjalan, yang kontinu. Secara umum, audit keamanan dilaksanakan dalam dua putaran. Yang keduanya berlaku pada pola tertentu, namun putaran kedua merupakan proses verifikasi untuk memastikan ditemukannya semua kelemahan pada putaran pertama yang mana telah diperbaiki dan diatasi sebagai rekomendasi hasil laporan putaran pertama. Terdapat situasi yang berbeda ketika harus melakukan audit keamanan. Waktu yang pasti tergantung kebutuhan dan sumber daya sistem yang dimiliki.

Ada banyak perangkat audit yang dapat digunakan untuk mencari kelemahan. Pemilihan perangkat audit bergantung pada kebutuhan keamanan dan dampak beban kerja dari pengawasan. Sebagai contoh, perangkat pemindai keamanan dapat memeriksa untuk setiap kelemahan pada jaringan dengan melakukan pindaian dan simulasi serangan. 


Tahapan Audit - Secara umum, tahapan audit dibagi menjadi bagian berikut ini: 
Perencanaan  - Tahapan perencanaan dapat membantu dalam menentukan dan memilih metode yang efisien dan efektif untuk melakukan audit dan mendapatkan semua informasi penting yangdibutuhkan. Waktu yang dibutuhkan dalam tahapan ini disesuaikan dengan lingkungan/keadaan, tingkat perluasan, dan kerumitan dari audit tersebut. Dalam tahapan ini akan dirincikan sub tahapan, diantaranya:
Ruang Lingkup dan Tujuan - Ruang lingkup dan tujuan audit harus didefinisikan dan ditetapkan dengan jelas. Kebutuhan pengguna harus diidentifikasi dan disetujui dengan auditor keamanan sebelum melanjutkan kerjanya. Berikut adalah contoh cakupan audit keamanan: 
Peran dan Tanggung jawab - Peran dan tanggung jawab semua pihak yang terlibat dalam audit haruslah didefinisikan dengan jelas sebelumnya. Adapun khusus bagi para auditor, haruslah melakukan tahapan pra-audit seperti: 

Kendala - Waktu yang diperbolehkan untuk audit haruslah cukup untuk menyelesaikan semua pengujian. Kadang kala pada saat proses audit, sistem atau jaringan harus pada keadaan off-line. Dan interupsi layanan dapat saja dilakukan. Yang perlu diperhatikan adalah, adanya backup dan pemulihan konfigurasi dan informasi yang ada perlu dilakukan sebelum proses aduit berjalan.

Pengumpulan Data Audit - Jumlah data yang dikumpulkan tergantung pada cakupan dan tujuan audit, ketersediaan data dan ketersediaan penyimpanan media. Dan merupakan yang tidak bisa dilewatkan yaitu menentukan seberapa banyak dan jenis apa dari data yang akan diambil dan bagaimana untuk memfilter, menyimpan, mengakses dan menelaah data dan log audit. Perencanaan yang teliti diperlukan dalam pengumpulan data. Pengumpulan data yang dilakukan harus sejalan dengan peraturan dan regulasi pemerintah dan tidak menyebabkan/menimbulkan ancaman dan keamanan bagi sistem. Pengumpulan data harus memenuhi kriteria, antara lain sebagai berikut:

Data audit dapat simpan dalam banyak cara, diantaranya yaitu:

Pengujian Audit - Setelah melakukan dua tahap sebelumnya, auditor keamanan dapat melakukan kegiatan berikut: Pelaporan Hasil Audit - Pelaporan audit keamanan dibutuhkan untuk penyelesaian akhir dari pekerjaan audit. Auditor keamanan harus menganalisa hasil pengauditan dan menyediakan laporan besertanya yang menjelaskan lingkungan keamanan yang berlaku. Laporan audit yang ada harus dapat dibaca pihak yang berkepentingan, diantaranya oleh: Perlindungan Data dan Perangkat Audit - Setelah pelaksanaan audit, penting untuk melakukan perlindungan data dan perangkat audit untuk audit selanjutnya atau dikemudian hari. Data audit tidak diperkenankan disimpan online. Jika memungkinkan, sebaiknya data audit dienkrispi terlebih dahulu sebelum disimpan dalam media pemyimpanan sekunder. Semua dokumen fisik terkait dengan audit seharusnya aman juga secara fisik dari pihak atau pengguna yang tidak berkepentingan. Perangkat audit harus dirawat, dijaga dan diawasi dengan baik untuk mencegah penyalahgunaan. Perangkat tersebut harus dipisahkan dari sistem pengembangan maupun sistem pengoperasian. Cara lainnya yaitu, dengan menghilangkan/menyingkirkan perangkat audit secepatnya setelah penggunaan selesai, kecuali dilindungi dari akses yang tidak diinginkan. Auditor keamanan harus segera mengembalikan semua informasi audit ke setiap departemen setelah penyelesaian proses audit.

Penambahan dan Tindak Lanjut - Jika langkah pembetulan dibutuhkan, harus melakukan alokasi sumber daya untuk menjamin bahwa penambahan/peningkatan dapat dilakukan pada kesempatan paling awal.

Pelaksanaan Audit IS
Suatu organisasi harus menilai keamanan sistem informasi secara reguler. Hal tesebut dilakukan dengan melalukan prosedur audit IS berdasarkan konsep keamanan informasi yang diadopsi organisasi.

Persetujuan Pimpinan dan Penetapan Organisasi - Setiap proyek memerlukan investasi baik untuk penyediaan sumber daya maupun untuk pelatihan yang diperlukan. Pimpinan harus memberikan persetujuannya terhadap rencana investasi tersebut. Sebelum rencana penerapan audit SMKI, pimpinan harus mendapatkan penjelasan yang memadai tentang seluk beluk, nilai penting dan untung rugi menerapkan audit SMKI serta konsekuensi ataupun komitmen yang dibutuhkan dari pimpinan sebagai tindak lanjut persetujuan terhadap proyek audit SMKI. Persetujuan pimpinan harus diikuti dengan arahan dan dukungan selama berlangsungnya proyek tersebut. Oleh karena itu, perkembangan proyek audit SMKI harus dikomunikasikan secara berkala kepada pimpinan pasca persetujuannya agar setiap masalah yang memerlukan pengambilan keputusan pimpinan dapat diselesaikan secara cepat dan tepat. Salah satu bentuk komitmen pimpinan pasca persetujuan terhadap rencana penerapan audit SMKI adalah dengan menetapkan organisasi atau tim penanggung-jawab keamanan informasi.

Pembagian Tanggung Jawab - Level manajemen menanggung semua tanggung jawab audit IS. Pihak manajemen harus diinformasikan secara reguler tentang semua masalah dan hasilnya serta aktifitas dari Audit IS. Manajemen juga harus mengetahui/diberitahu mengenai pengembangan baru, kondisi umum perubahan atau hal yang baru, atau kemungkinan untuk peningkatan dalam rangka memenuhi fungsi dan kendalinya atas sistem. Satu orang dalam organisasi (sebagai contoh, petugas keamanan TI) harus bertanggung jawab dalam audit IS. Petugas tersebut yang kemudian mengawasi atau mensupervisi keseluruhan proses dan eksekusi aktual dari audit IS. Petugas tersebut harus memiliki hal-hal sebagai berikut: 
  • Tugas dari seseorang yang bertanggung jawab dalam audit IS suatu organisasi, yaitu: menyusun rencana kasar untuk projek audit IS sebagai dasar dalam audit IS. Orang tersebut akan berperan sebagai kontak person utama dalam tim audit IS selama audit berlangsung dan bertanggung jawab khususnya dalam menyediakan dokumen referensi dan mengkordinasikan jadwal serta sumber daya materi atau personil lainnya pada saat pemeriksaan langsung. Setiap spesifikasi terkait dengan prosedur audit IS dan penugasan harus didokumentasikan secara individual dalam manual audit IS. Manual tersebut harus mengandung aspek-aspek berikut ini:
  • Manual audit IS merupakan dasar dan instruksi manual dari audit IS. Manual ini mengatur satu sama lainnya mengenai hak dan tugas individu yang terlibat dalam audit IS. Perwakilan personil harus dicantumkan dalam proses sebelum diadopsi oleh pihak manajemen.


Siklus Audit IS Pada dasarnya suatu audit Information Security (IS) dilakukan dengan siklus berikut ini: 
  • Pengawasan Audit IS Orang yang bertanggung jawab dalam audit IS juga merupakan orang yang dapat dihubungi pada saat audit IS. Orang tersebut membantu tim audit IS dalam menjawab pertanyaan teknis dan organisasional (sebagai contoh pada saat rapat organisasi, pada saat mengumpulkan dokumen, dan pada saat pemeriksaan langsung (on-site)).
Tim Audit IS - Untuk setiap audit dilakukan, perlu dibangunnya tim audit yang sesuai. Anggota dari tim audit ini harus memiliki kualifikasi teknis yang sesuai baik secara tim maupun kualifikasi individu. Berikut ini adalah tim-tim audit yang ada dalam organisasi:

Struktur Keamanan Informasi suatu Organisasi - Struktur organisasi keamanan informasi, bergantung pada ukuran organisasi itu sendiri. dapat berukuran kecil, sedang atau besar. 

Evaluasi Audit IS - Ada empat prinsip dasar dalam evaluasi: Mendefinisikan Cakupan (Ruang Lingkup) - Dalam pelaksanaan audit keamanan informasi, perlu ditentukan ruang lingkup dari pekerjaan audit tesrebut. Ruang lingkup ini meliputi: 

Teknik Audit IS - Teknik audit dipahami sebagai metode yang digunakan untuk menentukan fakta dari permasalahan. Berikut adalah beberapa teknik audit yang dapat digunakan selama audit IS: 

Melakukan Analisis Kesenjangan (Gap Analysis) - Kegiatan ini dilakukan dengan tujuan utamanya untuk membandingkan seberapa jauh persyaratan klausul-klausul ISO 27001 telah dipenuhi, baik pada aspek kerangka kerja (kebijakan dan prosedur) maupun aspek penerapannya. Untuk aspek kerangka kerja, identifikasilah apakah kebijakan dan prosedur sebagaimana dicantumkan telah dipenuhi. Sedang untuk aspek penerapan, ketersediaan rekaman perlu diperiksa sebagai bukti-bukti penerapan. Gap Analysis umumnya dilakukan dengan bantuan checklist pemeriksaan. Selain Checklist Indeks KAMI, checklist lain untuk kegiatan gap analysis ISO 27001 dapat diunduh dari berbagai situs tentang keamanan informasi. Penilaian Resiko dan Rencana Penilaian Resiko - Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment. Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat, jika sudah ada. Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar-standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:

Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut. 

Menetapkan Kontrol dan Sasaran Kontrol - Dari hasil identifikasi risiko kemudian dipilih kontrol dan sasaran kontrol ISO 27001 yang dapat diterapkan sesuai dengan ruang lingkup yang ditetapkan. Sasaran kontrol dapat ditetapkan sebagaisasaran keamanan informasi tahunan yang digunakan sebagai patokan untuk mengukur efektivitas penerapan SMKI pada periode yang ditetapkan. Sasaran keamanan informasi tahunan dapat ditetapkan sesuai hasil kajian risiko dan prioritas pembenahan dengan mempertimbangkan ketersediaan dan kemampuan sumber daya. Contoh sasaran keamanan informasi tahunan, misal tahun 2011, diberikan pada Tabel 6.2 dalam berikut. 

Menetapkan Kebijakan dan Prosedur Audit SMKI - Kebijakan dan prosedur disusun dengan memperhatikan kontrol yang memang berlaku dan diterapkan dalam penyelenggaraan pelayanan publik. 

Sosialisasi dan Pelatihan - Seluruh kebijakan dan prosedur yang telah disetujui oleh pimpinan kemudian disosialisasikan kepada seluruh personel/karyawan yang terkait sesuai dengan ruang lingkup yang ditetapkan di atas. Kegiatan ini untuk menjamin bahwa kebijakan dan prosedur SMKI telah dipahami sehingga penerapannya dilakukan secara tepat. Sosialisasi dapat dilakukan dengan berbagai cara, seperti:

Untuk meningkatkan kompetensi personel, perlu dilakukan pelatihan yang lebih mendalam baik pada aspek teknis maupun tata kelola TIK. Berbagai jenis pelatihan menyangkut pengamanan informasi yang dapat diprogramkan, misalnya: pengenalan ISO 27001, audit internal, pelatihan lead auditor, risk management, pelatihan untuk administrator ataupun jenis-jenis pelatihan untuk programmer. Bukti sosialisasi dan pelatihan baik berupa:

  • Yang kesemua bukti harus disimpan dan terpelihara dengan baik.
  • Menerapkan Kebijakan dan Prosedur Strategi penerapan/implementasi audit SMKI sebaiknya dilakukan dengan menyelaraskan kegiatan yang sedang berlangsung di instansi/lembaga. Jika instansi/lembaga sedang melakukan proyek pengembangan aplikasi, arahkan dan dampingi agar setiap tahapan pengembangan aplikasi dapat mematuhi kebijakan dan prosedur yang telah ditetapkan yang antara lain mencakup: 

  • Hasil penerapan SMKI harus dicatat dalam bentuk laporan, log, rekaman atau isian formulir yang relevan yang mendukung kebijakan atau prosedur yang ditetapkan seperti laporan pencatatan insiden dan penyelesaiannya, daftar pengguna aplikasi, log aktivitas user, laporan pelatihan/sosialisasi, permintaan perubahan dan realisasinya, hasil pengujian aplikasi, laporan perawatan komputer, dan sebagainya.
  • Mengukur Efektivitas Kendali Kontrol yang telah ditetapkan baik berupa kebijakan, prosedur atau standar yang telah ditetapkan diukur efektivitasnya dengan mempelajari hasil-hasil penerapan yang dicatat atau dituliskan dalam laporan atau formulir-formulir yang relevan. Metode pengukuran kontrol harus ditetapkan terlebih dahulu, baru kemudian diukur efektivitas kontrolnya secara periodik sesuai kebutuhan dan karakteristik kegiatan. Pengukuran ketercapaian sasaran keamanan informasi dapat menjadi salah satu alat untuk mengukur efektivitas kontrol.
Level Keamanan Informasi 
Kriteria level/tingkat keamanan informasi (normal, tinggi, atau sangat tinggi) ditentukan menurut keadaan yang sangat berkaitan dengan situasi yang terjadi. Adapun level keamanan informasi:

  • Sangat Tinggi 
  • Tinggi 
  • Normal 

Tanggung Jawab Klien - Dalam pelaksanaan audit keamanan IS oleh tim audit, klien harus atau pihak manajemen organisasi yang di audit harus memantau dan bertanggung jawab atas aktifitas berikut ini: 

Langkah 1 - Persiapan Audit IS - Manajemen tingkat atas untuk setiap instansi pemerintah dan perusahaan bertanggung jawab untuk: pelaksanaan tugas dan fungsi di semua area bisnis, pencapaian target proses bisnis, dan pendeteksian dan minimalisasi resiko tiap waktunya. Sebagaimana ketergantungan proses bisnis dengan TI meningkat, persyaratan untuk menjamin keamanan informasi eksternal dan internal juga meningkat.

Pihak manajemen harus memulai, mengendalikan dan mengawasi proses keamanan. Tanggung-jawab sepenuhnya di pihak manajemen, namun usaha untuk mencapai level keamanan yang diinginkan dapat didelegasikan ke petugas TI. Dalam prosesnya, manajemen harus secara intensif terlibat dalam proses manajemen keamanan informasi, hal tersebut merupakan satu-satunya jalan bahwa manajemen keamanan informasi dapat menjamin tidak adanya resiko yang tidak dapat diterima dan sumber daya diinvestasikan secara tepat. Ketika memulai audit IS, pihak manajemen harus berpartisipasi pada saat institusi atau organisasinya sedang diperiksa. Dalam tahapan ini, objek yang akan diperiksa harus spesifik/jelas, adanya kontrak yang jelas, dan dalam kontrak tim audit IS harus diberikan otoritas (misalkan otoritas untuk melihat dokumen yang ada). Orang yang bertanggung jawab dalam organisasi dalam audit IS, bagaimanapun haru menjelaskan fungsi inti organisasi kepada auditor dan menyediakan penjelasan singkat akan teknologi informasi (TI) yang digunakan. Dokumen rujukan berikut ini harus disediakan oleh institusi bagi tim audit IS, yang akan menjadi dasar bagi pelaksanaan audit IS: 

Dokumen Institusi/Organisasi 

Dokumen Teknis 

  • Spesifikasi dari objek dan perlindungan target modul yang diperiksa 
  • Perlindungan tambahan untuk menguji kemunculan konjungsi dengan defisiensi yang ditemukan selama pemeriksaan berlangsung 
  • Pemilihan teknik audit untuk tipe perlindungan tertentu 
  • Jika memungkinkan, spesifikasi dan peran dari rekanan wawancara 
  • Spesifikasi dari penjadwalan
Pihak manajemen perlu mendapatkan secara reguler laporan sebagai berikut:  

  • Komitmen seseorang atau suatu departemen sangatlah penting untuk implementasi suatu rekomendasi. Auditor, staff, dan pihak manajemen memiliki bermacam kepentingan, penekanan dan prioritas atas suatu rekomendasi yang diberikan.
  • Auditor IS, merupakan pihak pertama yang memberikan rekomendasi untuk peningkatan lebig baik, oleh karena itu auditor harus: 
  • Manajemen, memegang peranan penting dalam pemberdayaan pengembangan. Pihak manajemen seharusnya: 

Pengawasan dan Tindak Lanjut - Pengawasan dan tindak lanjut memiliki 3 langkah utama: 

  • Pihak manajemen seharusnya menyiapkan sistem tindak lanjut dan pengawasan untuk menindak lanjuti suatu rekomendasi. Selain itu, manajemen bertanggung jawab memberikan dukunga yang cukup, panduan keseluruhan, dan arahan.
  • Secara proaktif mengawasi dan melaporkan kemajuan dan status aksi, dan mengambil langkah penindaklajutan semua rekomendasi yang dibutuhkan sampai implementasi selesai.

 



Nama : Desi Wulandari Rahayu

NIM   : 203100119

Prodi  : Sistem Informasi

Komentar

Postingan populer dari blog ini

Matkul Keamanan Informasi_ Review Materi Data Backup Dan Disaster Recovery

Sistem Basis Data- Membuat, Menampilkan, Menggunakan dan Menghapus Database MySQL

Matkul Keamanan Informasi_ Review Materi Pengamanan Mobile Devices Dan Cloud