Tugas 4 – Bahasa Inggris Bisnis 2

The Next 10 Years

I always dreaming about my self  in the next 10 years. Most people think about what their life will be like in next 10 years, how their houses will be like, what their jobs are, how would they live their lives with their families? Every generation of people has many different mindsets, kids always think about how would their future be like, the way kids think is not as complicated as adults or teenagers. This shows that every year, month, day or even a minute, people could change their mind from what they used to think to what they are thinking about.

Firstly, how I see myself in next 10 years? Well, I have set my goals for what I wanted to be in next 10 years. I have a lot of goals wishes and hopes. I would be 31-years-old in next 10 years and I would have graduated. If it possible, I would settle down my family. I would let them live wherever they wanted to live but our hearts would not be apart. I would have a house where we would gather as family.

Secondly, at 31 years of age, I will be able to make my own decision in my life, unlike these days. I would have get married to someone whom I feel deeply in love with, who has been there for getting through the hard times with me to the future, who would backpack and travel to everywhere that I have been dreaming about.

Next, we can not tell how our lives will be like in next days because the future is not exactly as what we plan to be. No matter what we have to experience life and the journey it takes to reach our goals. Remember that every journey that we have been through has taught us a lesson and we will learn from it to reach our goals.

To achieving all goals i must work hard and don’t forget to pray.

Last, why i deserve to get A in english course? Because i always practice every material from my lecturer and i repeat it every day. I always try hard to understand the course.

The Best Place On Campus

The best place on campus is ilong (Internet Lounge), the place is located at campus E Gunadarma near back door. The location is very strategic, near warteg and mosque. It is a great location to meet new people and it is a great place to spend time in between and after classes. One day when I was a new college student I went there, we are get acquainted. One by one acquainted they self and now it is my turn, I never knew them and I said “Hello my name is Fauzan and I was born in Jakarta, I live in tomang and I was studied at Muhammadiyah 3 senior high school, my hobby is playing football and playing games. Ok that it.” And now kuple’s turn he is the funniest student. When he said “Hello my name is kuple” and all of us is laughing loudly, he just said his name and it is funny. After that we are talking like usual, we don’t feel it is 5 o’clock, and we decide to go home. One by one gone and when I want to go my friend ask me “what did you ride? And where are you going” and I said I am riding a motorcycle and go to tomang. May I come with you? I went down at the nearest station. Ok lets go together, and we are all going home.

Tugas 2 – Bahasa Inggris Bisnis 2

No. 15

Clause1                                                         Clause2
____________________________       _________________________________________
Although the area is a desert, many plants bloom there in the springtime.
_______             ____  _                                _____      ___
A                       B    C                                   D          E

A (Although) = Adverb clause connectors
B (area) = S
C (is) = V
D (plants) = S
E (bloom) = V

Tugas 1 – Bahasa Inggris Bisnis 2

15. The view from this top building bring back my old memory.
.                        A              B                            C                         D

A (from) = Predicate
B (top) = Adverb
C (bring back) = Verb
D (old memory) = Object

5 Great TOEFL Preparation Strategies

Taking the TOEFL is almost always a stressful experience. You need to get a specific score. You pay a lot to take the test. You’ve been preparing for months. The test center may be noisy or crowded. You might not have slept well the night before.

There’s nothing to be done about any of that, but beginning to prepare for the TOEFL well in advance is one of the best things you can do to reduce your level of stress on test day. Here are 5 TOEFL preparation strategies that I have found effective:

1. Become a good note taker: During the TOEFL, you only get to listen to audio clips once. You will then have to answer questions, speak, or write on the subject you heard about. Because you cannot replay the audio, you need to become a good note taker. You can practice taking notes in your native language or in English. It is probably best to do some of both.Your goal is to learn to take notes in real time, without missing anything the speaker is saying. Try with a variety of different audio clips of different lengths and levels of complexity, then listen to the clip again and see how accurate your notes are. Pay attention to things that may seem elementary like the layout of your notes and the legibility of your handwriting. Being able to take notes confidently and record all the important pieces of information in real time will be a huge help to you on your TOEFL test, but also in your future studies.
2. Take practice tests: When you’re preparing for the TOEFL, you’re almost always aiming for a specific score. During your TOEFL preparation period, you can only know if you’re nearing your objective by taking practice tests. Practice tests will also help you get a feeling for the test environment, question types, and constraints you’ll be faced with on test day. There are several ways to get TOEFL practice, including using our free EFSET Plus to track your progress. I wrote an article about the five most popular TOEFL practice test sources.
   
   
3. Read every day: Even native English speakers build their vocabularies by reading. The more broadly you read, the more exposure you get to concepts and vocabulary. The more closely you read, the more you build your reading comprehension skills. Read broadly and closely to expand the range of subjects you are comfortable with in English. You never know what subjects will come up on your TOEFL test, so it’s best to have a very wide comfort zone.

4. Listen to podcasts: There is a lot of English-language talk radio online, whether you like the BBC or NPR, comedy or news. Listening to native English speakers speaking English at their natural speed will develop your listening comprehension. You can also develop your speaking skills by playing back parts of the podcast and trying to mimic the pronunciation of the speaker. Understanding a recording is harder than understanding a video because there aren’t the same context clues. That makes podcasts better for listening comprehension practice than watching movies or TV shows in English.

5. Learn to touch type: The writing section of the exam requires you to type your answers on an unfamiliar computer with a QWERTY keyboard. If you spend all your time struggling with the keyboard, you’re not going to have much time left to write a good essay. It seems like a simple skill, but many people forget to prepare for it. Make sure you can type quickly in English on a QWERTY keyboard well before your test date. There are lots of free online tools to help you learn touch typing.

 

Bibliography :

• https://www.ef.com/wwen/blog/general/5-great-toefl-preparation-strategies/

 

 

Summary

Taking a TOEFL test is the stressful experience, it’s make you stress and you will forget the thing you’ve learn. You might not have slept well the night before. So it’s the best thing you can do to reduce your stress level. Here are 5 TOEFL preparation :

1. Become a good note taker.

During the test you only get listen to audio clips once, so you can practice taking notes in English. Being able to take notes confidently will be help you to your TOEFL test.

2. Take practice test.

During your TOEFL preparation take the practice test, you can practice using online practice TOEFL test, practice test will help you to faced with on the test day.

3. Read every day.

The more you read , the more you build your reading skills. So you need to read newspaper, magazine, or article in English. It can increase the speed of reading.

4. Listen to podcasts.

Try to listen English on online radio like BBC or NPR, podcast. Understanding a recording is harder than understanding a video because you can’t see the mimic of the speakers, that makes podcasts better for listening.

5. Learn to touch type.

If yor exam will be the Internet-based test(iBT), be sure to spend all your time struggling with the keyboard. You have not much time to write essay so you must can type quickly in English on keyboard.

ANALISIS E-GOVERNMENT

ANALISIS E-GOVERNMENT

PROVINSI BANGKA BELITUNG

KABUPATEN BANGKA BARAT & KABUPATEN BANGKA TENGAH

 

 

LUTHFI MIFTAH M	13115906
MUHAMMAD FARIZ	14115584
MUHAMMAD FAUZAN ALI	14115591
RIDHO ILHAM P	15115930

 

UNIVERSITAS GUNADARMA

ILMU KOMPUTER & TEKNOLOGI INFORMASI

 

Berikut adalah Unit Analisi E-Government dan Kategorisasi provinsi Bangka Belitung

No.	Unit Analisi	Bobot Nilai	Kategori	Bobot Nilai	Jumlah Total	% Nilai Total
1	Informasi Menu Utama dalam Website	25%	Potensi  daerah Komoditas Utama Kualitas SDM	40% 30% 30%	90 80 80	40% × 90 + 30% × 80 + 30% × 80 = 84
2	Informasi Tambahan dalam Fasilitas Website	20%	Tahap I Tahap II Tahap III	20% 30% 50%	90 90 90	20% × 90 + 30% × 90 + 50% × 90 = 90
3	Penyediaan Hubungan	15%	G2C G2B G2G	30% 40% 40%	80 80 80	30% × 80 + 40% × 80 + 40% × 80 = 88
4	Aksesibilitas	10%	<10 detik 10-30      detik > 30 detik	70% 100% 50%	100	100% × 100 = 100
5	Design	10%	Animasi Grafis Teks Lengkap	20% 40% 40%	90 90 90	20% × 90 + 40% × 90 + 40% × 90 = 90
6	Jumlah Tingkatan Informasi	20%	1 Tingkat 2 Tingkat 3 Tingkat 4 Tingkat	25% 25% 25% 25%	100 80 80 80	25% × 100 + 25% × 80 + 25% × 80  + 25% × 70 = 85
	Total					25% × 84 + 20% × 90 + 15% × 88 + 10% × 100 + 10% × 100 + 20% × 85 = 87.2

 

Kabupaten Bangka barat

No.	Unit Analisi	Bobot Nilai	Kategori	Bobot Nilai	Jumlah Total	% Nilai Total
1	Informasi Menu Utama dalam Website	25%	Potensi  daerah Komoditas Utama Kualitas SDM	40% 30% 30%	90 80 0	40% × 90 + 30% × 80 + 30% × 0 = 60
2	Informasi Tambahan dalam Fasilitas Website	20%	Tahap I Tahap II Tahap III	20% 30% 50%	0 0 0	= 0
3	Penyediaan Hubungan	15%	G2C G2B G2G	30% 40% 40%	80 0 0	30% × 80 + 40% × 0 + 40% × 0 = 32
4	Aksesibilitas	10%	<10 detik 10-30      detik > 30 detik	70% 100% 50%	100	100% × 100 = 100
5	Design	10%	Animasi Grafis Teks Lengkap	20% 40% 40%	100 90 90	20% × 100 + 40% × 90 + 40% × 90 = 93
6	Jumlah Tingkatan Informasi	20%	1 Tingkat 2 Tingkat 3 Tingkat 4 Tingkat	25% 25% 25% 25%	100 0 0 0	25% × 100 + 25% × 0 + 25% × 0  + 25% × 0 = 25
	Total					25% × 60 + 20% × 0 + 15% × 32 + 10% × 100 + 10% × 93 + 20% × 25 = 44.1

 

Kabupaten Bangka tengah

No.	Unit Analisi	Bobot Nilai	Kategori	Bobot Nilai	Jumlah Total	% Nilai Total
1	Informasi Menu Utama dalam Website	25%	Potensi  daerah Komoditas Utama Kualitas SDM	40% 30% 30%	0 80 0	40% × 0 + 30% × 80 + 30% × 0 = 24
2	Informasi Tambahan dalam Fasilitas Website	20%	Tahap I Tahap II Tahap III	20% 30% 50%	0 90 90	20% × 0 + 30% × 90 + 50% × 90 = 72
3	Penyediaan Hubungan	15%	G2C G2B G2G	30% 40% 40%	80 80 0	30% × 80 + 40% × 80 + 40% × 0 = 56
4	Aksesibilitas	10%	<10 detik 10-30      detik > 30 detik	70% 100% 50%	100	100% × 100 = 100
5	Design	10%	Animasi Grafis Teks Lengkap	20% 40% 40%	100 90 90	20% × 100 + 40% × 90 + 40% × 90 = 93
6	Jumlah Tingkatan Informasi	20%	1 Tingkat 2 Tingkat 3 Tingkat 4 Tingkat	25% 25% 25% 25%	0 0 0 0	= 0
	Total					25% × 24 + 20% × 72 + 15% × 56 + 10% × 100 + 10% × 23 + 20% × 0= 48.1

 

Narasi

No	Unit Analisis	Kategori Analisis	Provinsi (Bangka Belitung)	Kabupaten 1 (Banka Barat)	Kabupaten 2 (Bangka Tengah)
1	Selayang Pandang	Sejarah,	YA
		Motto	YA	YA	YA
		Lambang	YA	YA	YA
		arti lambang	YA
		lokasi dalam bentuk peta	YA
		visi dan misi	YA	YA	YA
2	Pemerintahan Daerah	Eksekutif	YA
		Legislative	YA
		nama, alamat, telepon, e-mail dari pejabat daerah	YA	YA	YA
		biodata dari Pimpinan Daerah	YA	YA	YA
3	Geografi	Topografi	YA	YA	YA
		Demografi	YA	YA	YA
		cuaca dan iklim	YA
		sosial dan ekonomi	YA	YA	YA
		budaya dari daerah bersangkutan	YA	YA	YA
		Ada informasi berupa numeris / statistik dan harus mencantumkan nama instansi dari sumber datanya.	YA	YA	YA
4	Peta Wilayah dan Sumberdaya	peta wilayah	YA	YA	YA
		bentuk peta sumberdaya	YA
5	Peraturan/Kebijakan Daerah	Peraturan Daerah (Perda) yang telah dikeluarkan oleh Pemerintah Daerah bersangkutan.	YA	YA	YA
6	Buku Tamu	Buku Tamu	YA
		Forum

 

Kesimpulan & Analisis:

    Dari situs e-government provinsi Kepulauan Bangka Belitung yang beralamatkan di www.babelprov.go.id kami menganalisis situs pemerintahan tersebut . Dalam Aspek Selayang Pandang Untuk profil provinsi ini, kita dapat mengetahui informasi mengenai sekilas sejarah provinsi Bangka Belitung yang berada pada urutan pertama dalam profil provinsi ini. Sejarah terpentuknya provinsi Bangka Belitung berisi asal mula provinsi ini yang pada zaman dahulu merupakan dua pulau besar yaitu pulau Bangka dan pulau Belitung serta pulau-pulau kecil lainnya.,Visi dan misi dipaparkan dengan sangat jelas dalam situs ini., Lambang serta arti dari lambang untuk provinsi Bangka Belitung ini dipaparkan dengan sangat jelas dan terperinci.

    Sedangkan pada aspek Pemerintahan dalam situs ini tidak dijelaskan mengenai struktur organisasi yang ada pada Pemda yang bersangkutan, baik dalam pemerintahan eksekutif maupun legislative sehingga masyarakat luas sulit untuk mengetahui biodata dari pejabat daerah mereka. dan pada aspek Geografi, Kondisi kepulauan Bangka Belitung yang berisi tentang kondisi geografi yang dibagi lagi menjadi letak astronomi, letak geografi, serta luas wilayah dari provinsi ini, Selain itu, kondisi kepulauan Bangka Belitung yang antara lain berisi tentang  iklim, keadaan alam, ketinggian dataran rendah, ketinggian daerah pegunungan, serta ketinggian daerah perbukitan dari permukaan laut..

    Pada aspek Peta Wilayah dan Sumber Daya, dalam situs ini, tidak disertakan peta wilayah dari provinsi yang bersangkutan. Hal ini sangat disayangkan karena peta wilayah merupakan salah satu aspek yang cukup penting, karena peta wilayah dapat digunakan sebagai panduan orang-orang yang ingin berlibur ke provinsi kepulauan ini., Sektor pertanian dan kehutanan

    Untuk sektor pertanian, terdapat beberapa subsector sebagai pengembangan dalam bidang pertanian. Subsektor itu antara lain subsector tanaman pangan dan holtikultura, subsektor perkebunan, dan subsektor peternakan. Sedangkan  untuk sektor kehutanan, dijelaskan mengenai luas kawasan hutan serta hasil hutan yang dapat dihasilkan pada provinsi tersebut., Sektor perikanan dan kelautan, Untuk sektor perikanan di Provinsi Kepulauan Bangka Belitung didominasi oleh perikanan laut karena lokasi daerah ini secara geografis dikelilingi oleh lautan dan selat. Selain sumber daya laut, daerah ini juga memiliki potensi untuk budidaya air tawar dan payau, Sektor perindustrian dan perdagangan dijelaskan mengenai industri yang sangat potensial untuk dikembangkan yaitu industri kerajinan seperti : kerajinan pewter, akar bahar, batu satam, renda, kopiah resam, dan rotan. Untuk industri menengah yang telah dikelola seperti industri tepung kaolin, batu granit, pembuatan batu bata yang bahannya berasal dari bahan galian golongan c, juga industri pengolahan karet, kelapa sawit, pengolahan kayu dan pendukung usaha perikanan yaitu pabrik es, Sektor pertambanngan dalam situs ini dipaparkan mengenai potensi bahan tambang yang dimiliki oleh masing-masing wilayah dalam provinsi ini.

    Pada aspek Peraturan/Kebijakan Daerah, yang menjadi kekuranngan dalam situs pemerintahan ini, yaitu tidak adanya peraturan maupaun kebijakan daerah sehingga masyarakat tidak dapat mengetahui kebijakan dan peraturan yang ada di daerah mereka.

    Dan yang terakhir pada aspek Buku Tamu Pada situs ini terdapat menu buku tamu yang dapat kita gunakan untuk memberikan pertanyaan, baik berupa komentar, saran, kritik, maupun pertanyaan lainnya yang berkaitan dengan kepulauan Bangka Belitung. Selain itu, menu interaktif lainnya yang terdapat pada situs ini yaitu berupa menu forum yang dapat memudahkan masyarakat dalam menyampaikan aspirasi mereka langsung kepada Pemerintah daerah provinsi Kepulauan Bangka Belitung.

 

Sumber :

• www.babelprov.go.id
• http://wartawarga.gunadarma.ac.id

Audit Sistem Informasi

AUDIT SISTEM INFORMASI

DISUSUN OLEH:
Luthfi Miftah Muhaeransyah (13115906)
Muhammad Fariz (14115584)
Muhammad Fauzan Ali (14115591)
Ridho Ilham (15115930)

FAKULTAS ILMU KOMPUTER DAN
TEKNOLOGI INFORMAS
UNIVERSITAS GUNADARMA
NOVEMBER 2018

PENDAHULUAN
a. Latar belakang
Proses audit SI adalah prosedur terstruktur yang digunakan oleh auditor untuk menilai dan mengevaluasi efektivitas dari organisasi TI dan seberapa baik dukungannya terhadap tujuan organisasi. Proses audit ini didukung oleh kerangka kerja (framework) yang tertuang dalam kode etik, standar, pedoman, dan prosedur audit ISACA.

b. Tujuan
Tujuan pengendalian intern adalah menjamin manajemen perusahaan agar:
· Tujuan perusahaan yang ditetapkan akan dapat dicapai.
· Laporan keuangan yang dihasilkan perusahaan dapat dipercaya.
· Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.
Pengendalian intern dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan. Pengendalian intern dapat menyediakan informasi tentang bagaimana menilai kinerja perusahaan dan manajemen perusahaan serta menyediakan informasi yang akan digunakan sebagai pedoman dalam perencanaan.

c. Manfaat
Penulisan paper ini bermanfaat agar memberikan informasi tentang manajemen audit,Kebijakan, Standar, Prosedur, dan Pedoman menurut ISACA, Analisis Resiko and pengendalian internal.

TINJAUAN PUSTAKA

Definisi Information System Audit Manajemen
Manajemen audit adalah sebuah proses perencanaan, pengorganisasian, pengkordinasian, dan pengontrolan dalam proses audit atau pemeriksaan atau evaluasi terhadap suatu organisasi, sistem, proses atau produk yang akan diaudit.

PEMBAHASAN

Audit harus dikelola karena:
Audit harus dikelola agar hasil audit yang didapatkan sesuai dengna perencanaan dan proses audit yang ada berjalan sesuai dengan standar yang telah disetujui dan dilaksanakan secara benar, terorganisir, dan sesuai dengan jadwal.
kebijakan, standar, prosedur dan pedoman audit menurut ISACA
Standar audit ISACA mengharuskan auditor terus belajar tentang teknologi baru, bagaimana teknologi mendukung proses bisnis, dan bagaimana teknologi harus dikendalikan.
· Pelatihan dan seminar ISACA,
· Pelatihan materi-materi ISACA,
· Pelatihan webminars, dll untuk meningkatkan pengetahuan auditor
Standar
adalah pernyataan bahwa semua auditor SI diharapkan untuk mengikuti dan dapat dianggap sebagai aturan hukum untuk para auditor.
Index of IT Audit and Assurance Standards
Effective Date
S1 Audit charter
1 January 2005
S2 Independence
1 January 2005
S3 Professional Ethics and Standards
1 January 2005
S4 Competence
1 January 2005
S5 Planning
1 January 2005
S6 Performance of Audit Work
1 January 2005
S7 Reporting
1 January 2005
S8 Follow-up Activities
1 January 2005
S9 Irregularities and Illegal Acts
1 September 2005
S10 IT Governance
1 September 2005
S11 Use of Risk Assessment in Audit Planning
1 November 2005
S12 Audit Materiality
1 July 2006
S13 Using the Work of Other Experts
1 July 2006
S14 Audit Evidence
1 July 2006
S15 IT Controls
1 February 2008
S16 E-commerce
1 Februari 2008
S1 Audit Charter
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan mengenai Piagam Audit yang digunakan selama proses audit. Standar ini ISACA efektif untuk semua sistem informasi audit yang dimulai pada atau setelah tanggal 1 Januari 2005
S2 Independence
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan pedoman mengenai kemerdekaan selama proses audit. Standar ini ISACA efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S3 Professional Ethics and Standards
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan panduan bagi auditor IS untuk mematuhi Kode Etik Profesional ISACA dan berhati-hati dalam melakukan profesional karena tugas audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi dimulai pada 1 Januari 2005.
S4 Professional Competence
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan sehingga IS auditor diperlukan untuk mencapai dan mempertahankan kompetensi profesional. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S5 Planning
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan panduan tentang perencanaan audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S6 Performance of Audit Work
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan bimbingan mengenai pelaksanaan pekerjaan audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S7 Reporting
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan mengenai pelaporan sehingga auditor IS dapat memenuhi tanggung jawab ini. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005
S8 Follow-Up Activities
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan panduan tentang tindak lanjut kegiatan yang dilakukan selama proses audit IS. IS Standar Auditing yang efektif untuk audit sistem informasi mulai 1 Januari 2005
S9 Irregularities and Illegal Acts
Tujuan dari Standar ISACA adalah untuk membangun dan memberikan bimbingan pada penyimpangan dan tindakan ilegal yang auditor IS harus mempertimbangkan selama proses audit. Standar ini ISACA efektif untuk semua sistem informasi audit yang dimulai pada atau setelah 1 September 2005.
S10 IT Governance
Tujuan standar ini ISACA adalah untuk membangun dan memberikan bimbingan pada bidang TI pemerintahan yang IS kebutuhan auditor untuk mempertimbangkan selama proses audit. Standar ini ISACA efektif untuk semua audit sistem informasi 1 September 2005.
S11 Use of Risk Assessment in Audit Planning
Tujuan dari standar ini adalah untuk menetapkan standar dan memberikan bimbingan mengenai penggunaan penilaian risiko dalam perencanaan audit. Standar ini berlaku efektif untuk IS audit dimulai pada atau setelah tanggal 1 November 2005.
S12 Audit Materiality
Tujuan dari IS standar audit adalah untuk membangun dan memberikan bimbingan pada konsep materialitas audit dan hubungannya dengan risiko audit. Standar ini ISACA efektif untuk semua IS audit yang dimulai pada atau setelah 1 Juli 2006.
S13 Using the Work of Other Experts
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan kepada auditor IS yang menggunakan karya ahli lain pada audit. Standar ini ISACA efektif untuk semua IS audit mulai 1 Juli 2006.
S14 Audit Evidence
Tujuan dari standar ini adalah untuk menetapkan standar dan memberikan bimbingan tentang apa yang merupakan bukti audit, dan kualitas dan kuantitas bukti audit yang diperoleh oleh auditor IS. Standar ini berlaku efektif untuk audit sistem informasi mulai 1 Juli 2006.

S15 IT Controls
Tujuan standar ini ISACA adalah untuk menetapkan standar dan memberikan panduan tentang IT kontrol. Standar ini berlaku efektif untuk ISACA IS audit mulai 1 Februari 2008.
S16 E-Commerce
Tujuan standar ini ISACA adalah untuk menetapkan standar dan memberikan bimbingan mengenai review e-commerce lingkungan. Standar ini berlaku efektif untuk ISACA IS audit mulai 1 Februari 2008.

Pedoman
adalah pernyataan yang membantu auditor SI lebih memahami bagaimana standar ISACA dapat diterapkan.

Index of IT Audit and Assurance Guidelines
Effective Date
G1 Using the Work of Other Auditors
1 June 1998 Revised 1 March 2008
G2 Audit Evidence Requirement
1 December 1998 Revised 1 May 2008
G3 Use of Computer Assisted Audit Techniques (CAATs)
1 December 1998 Revised 1 May 2008
G4 Outsourching of IS Activities to Other Organisations
1 September 1999 Revised 1 May 2008
G5 Audit Charter
1 September 1999 Revised 1 February 2008
G6 Materiality Concepts for Auditing Information System
1 September 1999 Revised 1 May 2008
G7 Due Professional Care
1 September 1999 Revised 1 March2008
G8 Audit Documentation
1 September 1999 Revised 1 March2008
G9 Audit Considerations for Irregularities and Illegal Acts
1 March 2000 Revised 1 September 2008
G10 Audit Sampling
1 March 2000 Revised 1 August 2008
G11 Effect of Pervasive IS Controls
1 March 2000 Revised 1 August 2008
G12 Organisational Relationship and Independence
1 September 2000 Revised 1 August 2008
G13 Use of Risk Assessment in Audit Planning
1 September 2000 Revised 1 August 2008
G14 See Generic Application Audit/Assurance Program
Withdrawn 14 January 2013
G15 Audit Planning Revised
1 May 2010
G16 See Outsourced IT Enviroments Audit/Assurance Program
Withdrawn 14 January 2013
G17 Effect Of Nonaudit Role on the IT Audit and Assurance Profesional’s Independence
1 May 2010
G18 IT Governance
1 July 2002
G19 Irregularities and Illegal Acts
1 July 2002
G20 Reporting
1 January 2003 Revised 16 August 2010
G21 See Security Audit and Control Features SAP ERP 3rd Edition
Withdrawn 14 January 2013
G22 See E-commerce and PKI Audit/Assurance Program
Withdrawn 14 January 2013
G23 See Systems Development and Project Management Audit/Assurance Program
Withdrawn 14 January 2013
G24 Internet Banking
Withdrawn 14 January 2013
G25 See VPN Security Audit/Assurance Program
Withdrawn 14 January 2013
G26 Business Process Reengineering (BPR) Project Reviews
Withdrawn 14 January 2013
G27 See Mobile Computing
Withdrawn 14 January 2013
G28 Computer Forensies
Withdrawn 14 January 2013
G29 See Systems Development and Project Management Audit/Assurance Program
Withdrawn 14 January 2013
G30 Competence
1 June 2005
G31 Privace
1 June 2005 Withdrawn 14 January 2013
G32 Bussiness Continuity Plan (BCP) Review From IT Perspective
1 September 2005 Withdrawn 14 January 2013
G33 General Consideration on the Use of the Internet
1 March 2006 Withdrawn 14 January 2013
G34 Responsibility, Authority and Accountability
1 March 2006
G35 Follow-up Activities
1 March 2006

Prosedur
adalah contoh langkah-langkah yang dapat diikuti ketika audit perusahaan yang spesifik atau teknologi yang digunakan dalam SI.
Analisis resiko
adalah sebuah prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi.

Analisis Resiko dapat dilakukan dengan cara:
§ Evaluasi Proses Bisnis
Tujuan evaluasi proses bisnis adalah untuk menentukan tujuan dan pentingnya kegiatan bisnis.
Dokumentasi proses bisnis yang tersedia harus diperoleh sebelum melakukan audit, antara lain:
§ Dokumen pernyataan visi dan misi organisasi
§ Arsitektur proses bisnis
§ Prosedur proses bisnis
§ Arsip dokumen-dokumen perusahaan
§ Sistem informasi pendukung (contoh: diagram arsitektur, prosedur komputer, diagram jaringan, skema database dan sebagainya)
§ Identifikasi Resiko Bisnis
Proses mengidentifikasi risiko bisnis adalah menggunakan sebagian analitis dan sebagian berdasarkan pengalaman dari auditor. Auditor biasanya akan melakukan analisis ancaman untuk mengidentifikasi resiko. Sebuah analisis resiko adalah kegiatan dimana auditor mempertimbangkan resiko yang mungkin terjadi dan memilih resiko-resiko tersebut yang masuk akal untuk dilakukan audit.
Bisa juga dengan cara :
a. Menentukan ruang lingkup (scope statement).
Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.
b. Menetapkan aset (asset pricing).
Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
c. Menentukan koefisien dampak.
Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.
d. Single loss expectancy atau ekspetasi kerugian tunggal.
Pada poin ini, aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
e. Group evaluation atau evaluasi kelompok,
yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
f. Melakukan kalkulasi (penghitungan) dan analisis.
Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
g. Controls atau pengendalian,
yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
h. Melakukan analisis terhadai control atau pengendalian.
Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.
Faktor-faktor yang mempengaruhi analisis resiko:
§ Probabilitas terjadinya
§ Dampak/kerugian yang ditimbulkan
§ Kemungkinan mengurangi pengendalian
§ Pengaruh terhadap biaya dan usaha
Pengendalian Internal
pengendalian internal merupakan rencana, metoda, prosedur, dan kebijakan yang didesain oleh manajemen untuk memberi jaminan yang memadai atas tercapainya efisiensi dan efektivitas operasional, kehandalan pelaporan keuangan, pengamanan terhadap aset, ketaatan/kepatuhan terhadap undang-undang, kebijakan dan peraturan lain.
Dapat juga berarti kebijakan, prosedur, mekanisme, sistem, dan tindakan lain yang dirancang untuk mengurangi risiko yang dikenal sebagai pengendalian internal. Pengendalian diciptakan karena memiliki dua fungsi dalam organisasi yaitu:
Diciptakan untuk mencapai tujuan yang diinginkan.
Diciptakan untuk menghindari kejadian/resiko yang tidak diinginkan.
Pengendalian interal dilakukan karena:
a. Menjaga kekayaan organisasi.
· Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan
· Pertanggung jawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya.
b. Memeriksa ketelitian dan kebenaran data akuntansi.
· Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan.
· Pencatatan transaksi yang terjadi tercatat dengan benar di dalam catatan akuntansi perusahaan.
c. Memberikan jaminan yang wajar bahwa setiap perusahaan melakukan suatu control yang dapat meminimalisasi
Bagaimana memulai kegiatan audit?
a. Pemahaman auditor terhadap objek audit.
Objek audit meliputi keseluruhan perusahaan dan/atau kegiatan yang dikelola oleh perusahaan tersebut dalam rangka mencapai tujuannya. Untuk mencapai tujuannya, objek audit menetapkan berbagai program yang pelaksanaannya dijabarkan ke dalam berbagai bentuk kegiatan. Auditor harus mengkomunikasikan dengan atasan pengelola objek atau pemberi tugas audit tentang pemahamannya terhadap berbagai program/aktivitas objek audit untuk menghindari terjadinya kesalahpahaman. Komunikasi ini lebih efektif jika dilakukan secara tertulis, dengan meminta tanggapan pemberi tugas audit tentang hal-hal berikut :
· Informasi yang mendukung tujuan audit.
· Informasi yang mengarahkan ruang lingkup audit
· Informasi yang mengarah pada tujuan audit

b. Penentuan tujuan audit.
Tujuan audit harus mengacu pada alasan mengapa audit harus dilakukan pada objek audit dan didasarkan pada penugasan audit. Dalam merumuskan tujuannya, auditor dapat melakukannya dengan cara sebagai berikut:
· Mengidentifikasi tujuan yang ada, yang mungkin mempunyai arti penting pada pemberi tugas.
· Mempertimbangkan tujuan audit yang telah ditetapkan pada masa sebelumnya.
· Membahas dengan pemberi tugas dan pengelola objek audit.

c. Penentuan ruang lingkup dan tujuan audit.
Ruang lingkup audit menunjukkan luas(area) dari tujuan audit. Penentuan ruang lingkup audit harus mengacu pada tujuan audit yang telah ditetapkan. Secara garis besar ruang lingkup audit manajemen terdiri atas:
· Bidang keuangan
· Ketaatan kepada peraturan dan kebijakan perusahaan
· Ekonomisasi
· Efisiensi
· Efektivitas
d. Review terhadap peraturan dan perundang-undangan yang berkaitan dengan objek audit.
Review(penelaahan) ini bertujuan untuk memperoleh informasi tentang peraturan-peraturan yang berhubungan dengan objek audit baik bersifat umum maupun yang berhubungan khusus dengan berbagai program/aktivitas yang diselenggarakan pada objek audit. Dengan penelaahan ini auditor dapat memahami batas-batas wewenang objek audit dan berbagai program yang dilaksanakan dalam mencapai tujuannya

PUSTAKA
http://www.isaca.org/KNOWLEDGE-CENTER/STANDARDS/Pages/default.aspx
http://manshurzikri.wordpress.com/2012/06/04/analisis-resiko-dan-beberapa-metodologinya/

Pengendalian Intern

PENGERTIAN AUDIT SISTEM INFORMASI

Pada pembahasan kali ini kami akan menjelaskan tentang Audit Sistem Informasi. Yang meliputi pengertian audit sistem informasi, tujuan audit sistem informasi, jenis-jenis audit sistem informasi, tahapan audit sistem informasi dan ruang lingkup audit sistem informasi dengan pembahasan lengkap dan ringan dipahami. Untuk memahami lebih detailnya silakan simak ulasan dibawah ini dengan seksama.

 

Audit sistem informasi atau Information System Audit disebut juga EDP Audit (Electronc Data Processing Audit) / Computer audit merupakan suatu proses dikumpulkannya data dan dievakuasinya butki untuk menetapkan apakah suatu sistem aplikasi komputerisasi sudah diterapkan dan menerapkan sistem pengendalian, internal yang sudah sepadan, seluruh aktiva dilindungi dengan baik atau disalahgunakan dan juga terjamin integrita data, keandalan dan juga efektifitas dan efisiensi penyelenggaraan informasi berbasis komputer.

 

Pengertian Audit Sistem Informasi Menurut Para Ahli

1.Alvin A. Arens dan James K. Loebbecke

Pengertian audit sistem informasi menurut Alvin A. Arens dan James K. Loebbecke adalah auditing is the accumolation and evaluation of evidence about information to determite and report on the degree of correspondence between the information and establishe criteria. Examining ought to be finished by a skillfull autonomous individual.

 

2. Ron Weber (1999)

Pengertian audit sistem informasi menurut Ron Weber adalah System information auditing is the process of collecting and evaluating evidence to determite whether a computer system safeguards assets, maintains data integrity, allows organizational goals to the achived effectively and uses resources efficiently. Artinya Audit sistem informasi adalah proses mengumpulkan dan mengavaluasi fakta untuk memutuskan apakah sistem komputer yang merupakan aset perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk mencapai efektifitas dan efisiensi dalam penggunaan sumber daya.

 

Tujuan Audit Sistem Informasi

Tujuan dari audit sistem informasi bisa dibagi menjadi dua kelompok utama, antara lain:

 

1.Conformance (kesesuaian)

Kelompok audit sistem informasi ini bertujuan adalah fokus untuk memperoleh kesimpulan dari aspek kesesuaian yaitu Kerahasiaan (Confidentiality), Integritas (integrity), Ketersediaan (Availability) dan Kepatuhan (Compliance)

2.Performance

(kinerja, kelompok tujuan audit sistem informasi ini berfokus pada memperoleh kesimpulan terhadap aspek kinerja yaitu Efektifitas (Effectiveness), Efisiensi (Efficiency), dan Kehandalah (Realibility).

Secara umum Tujuan dari Audit Sistem Informasi adalah:

• Untuk memeriksa kecukupan pengendalian lingkungan, keamanan fisik, keamanan logikal dan juga keamanan operasi sistem informasi yang dibuat untuk menjadi pelindung perangkat keras, perangkat lunak dan data pada akses yang tidak sah, kecelakaan atau perubahan yang tidak dikehendaki.
• Untuk memastikan, sistem informasi benar-benar sesuai dengan keperluan menjadikan bisa membantu organisasi untuk meraih tujuan strategis.

Ron Weber (1999:11-13) menyatakan bahwa tujuan audit sistem informasi adalah:

1.Pengamanan Aset

Aset informasi pada perusahaan seperti perangkat keras, perangkat lunak dan sumber daya manusia, file data harus dijaga oleh sistem pengendalian intern yang baik supaya tidak terjadi penyalahgunaan aset perusahaan.

 

2.Menjaga Integritas Data

Integritas data adalah salah satu konsep dasar sistem informasi. Data mempunyai atribut tertentu seperti kelengkapan, kebenaran dan keakuratan. Jika integritas data tidak dijaga, maka suatu perusahaan tidak akan mempunyai hasil atau laporan yang benar bahkan perusahaan dapat mengalami kerugian.

 

3.Efektifitas Sistem

Efektifitas sistem informasi perusahaan mempunyai peran penting dalam proses diambilnya keputusan. Suatu sistem informasi bisa disebut efisien jika sistem informasi tersebut dapat memenuhi keperluan pengguna atau user dengan sumber daya informasi yang minimal.

 

4.Efisiensi Sistem

Suatu sistem bisa disebut efisien jika sistem informasi dapat memenuhi kebutuhan user dengan daya informasi yang minimal.

 

5.Ekonomis

Ekonomis menunjukkan kalkulasi untuk rugi ekonomi yang sifatnya kuantifikasi nilai moneter atau uang. Ekonomis bersifat pertimbangan ekonomi.

 

Jenis-Jenis Audit Sitem Informasi

Ada beberapa jenis atau tipe dari audit sistem informasi, antara lain adalah:

 

Audit Laporan Keuangan

Audit laporan keuangan (Financial Statement Audit) merupakan audit yang dijalnkan untuk mencari tahu tingkat kewajaran laporan keuangan yang disajikan perusahaan. Apabila sistem akuntasi organisasi yang diaudit adalah sistem akuntasi berbasis komputer maka audit dilaksanakan pada sistem informasi akuntansi, apakah prosss atau mekanisme sistem dan program komputer sudah selsai, pengendalian umum sistem memadai dan data yang telah substansif.

 

Audit Operasional

Ada tiga jenis audit operasional (Operational Audit), antara lain:

 

A. Post Implementation Audit

Pelaksanaan post implementasi audit atau audi setelah implementasi ini dijalnakan oleh auditor dengan penerapan, pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang diimplementasikan harus dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai dengan keperluan atua mengandung kesalahan

 

B. Conccurrent Audit (Audit Bersama)

Audit menjadi tim pengembang sistem, auditor membantu tim untuk melakukan peningkatan kualitas dikembangkannya sistem yang dibangun oleh analisis, desingner dan programmer dan akan diterapkan.

 

C. Concurrent Audits (Audit Secara Bersama-sama)

Auditor melakukan evaluasi kinerja unit fungsional atau fungsi sistem informasi apakah telah dikelola dengan baik, apakah kontrol berkembangnya sistem secara menyeluruh sudah dijalankan dengan baik, apakah sistem kompute rsudah dikelola dan dioperasikan dengan baik.

 

Dalam melakukan audit sistem komputerisasi yang ada, dilaksanakan dengan menyeluruh, pada saat menjalankan pengujian, dimanfaatkan bukti menarik kesimpulan dan memberikan rekomentasi terhadap manajemen tentang hal yang berkaitan dengan efektititas, efisiensi dan ekonomisnya sistem.

 

Tahapan Audit Sistem Informasi

Menurut Gallegos dalam bukunya “Audit And Control Of Information System” menyatakan audit sistem informasi meliputi beberapa tahapan yakni:

 

Perencanaan (Planning)

Meliputi aktivitas utama, yakni:

• Menetapkan ruang lingkup dan tujuan audit
• Mengorganisasikan tim audit
• Memahami tentang oprasi bisnis klien
• Mengkaji ualgn hasil audit sebelumnya
• Menyiapkan program audit

 

Pemeriksaan Lapangan (Field Work)

Pada tahap ini yang dikerjakan yaitu mengumpulkan informasi yang dilakukan dengan cara mengumpujlkan data dengan pihak-pihak yang berhubungan. Hal ini bisa dilakukan dengan cara penerapan metode pengumpulan data yakni wawancara, quisioner atau melakukan survey.

 

Pelaporan (Reporting)

Setelah pengumpulan data, maka akan diperoleh data yang akan diproses untuk dihitung menurut perhitungan maturity level. Di tahapan ini akan dilakukan pemberian informasi dalam bentuk hasil-hasil dari audit.

 

Tindak Lanjut (Follow Up)

Tahapan ini dilakukan dengan pemberian laporan hasil audit dalam bentuk rekomendasi tindakan perbaikan kepada pihak manajemen objek yang diteliti, untuk kemudian wewenang perbaikan menjadi tanggung jawah manajemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuan untuk perbaikan di masa yang akan datang.

 

Ruang Lingkup Audit Sistem Informasi

Ruang lingkup mencakup audit terhadap sistem informasi penjualan, yang diawli pada bagian marketing penerimaan order hingga pembuatan laporan penjualan. Sedangkan pengendalian prosedur dan pelaksanaan sistem informasi dibagi menjadi dua bagian yakni:

• Pengendalian Umum (General Control) mencakup pengendalian manajemen keamanan dan pengendalian manajemen operasi.
• Pengendalian Aplikasi (Aplication Control) mencakup pengendalian boundary, pengendalian input dan pengendalian output.

 

Demikianlah penjelasan tentang Pengertian Audit Sistem Informasi, Tujuan, Jenis, Tahapan, Ruang Lingkup Terlengkap semoga dapat menambah wawasan dan pengetahuan kalian. Terimakasih telah berkunjung ke blog kami dan jangan lupa untuk membaca artikel lainnya.

 

Daftar Pustaka :

• https://www.sepengetahuan.co.id/2017/12/pengertian-audit-sistem-informasi-tujuan-jenis-tahapan-ruang-lingkup.html

Rangkuman Buku IT Auditing

RANGKUMAN BUKU

 

 

PENERJEMAH :

 

4KA11

LUTHFI MIFTAH M	13115906
MUHAMMAD FARIZ	14115584
MUHAMMAD FAUZAN A	14115591
RIDHO ILHAM P	15115930

 

UNIVERSITAS GUNADARMA

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

 

 

PROSES AUDIT (AUDIT PROCESS).

1. Internal Control

Internal Control , dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut. Internal Control memiliki beberapa tipe, yaitu :

1. Preventive Control.

Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut pandang teoritis, kontrol pencegahan selalu lebih disukai, karena alasan yang jelas. Namun, ketika Anda melakukan audit, ingat bahwa kontrol pencegahan tidak selalu merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih masuk akal dari titik keuntungan biaya / manfaat.

2. Detective Control.

Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.

3. Reactive Control (Corrective Control).

Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna memiliki file tanda tangan terinstal terbaru. Idealnya, Anda dapat menonaktifkan akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis.

 

1. INTERNAL CONTROL EXAMPLE

Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep pengendalian internal.

1. Software Change Control

Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem, sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja kontrol internal yang akan mengurangi risiko tersebut?

• Jangan izinkan akses logis pemrogram untuk memperbarui kode produksi.
• Orang yang memiliki akses logis untuk memperbarui kode produksi tidak mungkin melakukannya tanpa bukti pengujian dan persetujuan.

2. Access Control

Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat. Bagaimana cara mengurangi risiko tersebut?

• Minta ID pengguna dan kata sandi untuk mengakses sistem.
• Memiliki sejumlah administrator keamanan aplikasi yang mengontrol kemampuan untuk menambahkan akun pengguna baru ke sistem.
• Pastikan bahw administrator keamanan aplikasi adalah individu berpengetahuan yang tahu pengguna mana yang benar-benar membutuhkan akses ke sistem.

3. Backup and Disaster-Recovery Plans

ika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau mengirim pembayaran baru.

 

1. Determining What To Audit (Menentukan Apa yang Harus Di Audit).

Salah satu tugas terpenting dari departemen audit internal adalah menentukan apa yang harus diaudit. Langkah yang harus diambil ialah :

1. Creating Audit Universe

Sebelum menciptakan lingkungan (universe), sebaiknya memahami terlebih dahulu lingkungan sekitar agar mampu melakukan audit yang efektif.

2. Centralized IT Function

Pada bagian ini, Anda harus menentukan fungsi TI apa yang terpusat, dan tempatkan masing-masing fungsi terpusat pada daftar potensi audit IT kita. Salah satu contoh, jika fungsi utama mengelola lingkungan server Unix dan Linux Anda, salah satu potensi Anda mungkin merupakan tinjauan terhadap manajemen lingkungan itu.

3. Decentralized IT Function

Setelah membuat daftar semua proses TI terpusat perusahaan, Anda dapat menentukan sisa alam semesta audit Anda. Mungkin Anda dapat membuat satu potensi audit per situs perusahaan. Audit ini dapat terdiri dari peninjauan kontrol TI terdesentralisasi yang dimiliki oleh masing-masing situs, seperti keamanan fisik pusat data dan kontrol lingkungan.

4. Business Application

Anda juga dapat membuat audit potensial untuk setiap aplikasi bisnis. Anda harus menentukan apakah lebih efektif untuk melakukan audit ini di alam semesta audit TI atau di alam audit keuangan. Dalam banyak hal, sangat masuk akal untuk memiliki audit ini didorong oleh auditor keuangan, yang mungkin dalam posisi terbaik untuk menentukan kapan waktu untuk melakukan audit saat proses pembelian.

5. Regulatory Compliance (Kepatuhan terhadap peraturan).

Contoh umum termasuk kepatuhan audit dengan Sarbanes-Oxley, Portabilitas Asuransi Kesehatan dan Undang-Undang Akuntabilitas (HIPPA), serta peraturan dan standar Industri Kartu Pembayaran (PCI).

6. Ranking The Audit Universe

Setelah Anda membuat semesta audit TI Anda, Anda harus mengembangkan metodologi untuk menentukan peringkat audit potensial tersebut untuk menentukan rencana Anda untuk tahun ini (atau kuartal, bulan, dan seterusnya). Anda dapat memasukkan semua jenis faktor dalam metodologi ini, tetapi berikut ini adalah beberapa yang penting :

• Masalah yang diketahui di lapangan, tersebut Jika Anda tahu ada masalah di daerah tersebut, Anda harus lebih mungkin untuk melakukan audit terhadap area tersebut.
• Menyadari risiko di lapangan, Anda mungkin tidak menyadari masalah khusus di area tersebut, tetapi pengalaman Anda memberi tahu Anda bahwa area ini rentan terhadap masalah, jadi Anda harus mempertimbangkan untuk melakukan audit.
• Manfaat melakukan audit di lapangan, Pertimbangkan manfaat dari melakukan audit di daerah, dengan fokus terutama pada apakah audit akan menambah nilai bagi perusahaan.
• Management Input, Sebagai contoh, jika manajemen mendorong Anda untuk melakukan audit, mereka mungkin mengetahui masalah di area tersebut, yang mungkin mengarahkan Anda untuk meningkatkan peringkat Anda dari faktor pertama (Menyadari risiko di lapangan). Ini juga dapat mengarahkan Anda untuk percaya bahwa Anda dapat menambah nilai dengan melakukan audit, sehingga Anda dapat berpotensi meningkatkan peringkat Anda dari faktor ketiga (Manfaat melakukan audit di lapangan).

 

1. The Stage of Audit (Tahapan Audit).

Sekarang setelah Anda memahami proses pemilihan apa yang harus diaudit, mari kita bahas berbagai tahapan untuk melakukan masing-masing audit dalam rencana audit. Kami akan membahas enam fase audit utama berikut :

1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Penemuan masalah dan validasi
4. Pengembangan solusi
5. Pembuatan laporan
6. Pelacakan masalah

 

 

AUDIT TECHNIQUES

1. Auditing Entity-Level Controls

Langkah-Langkah Percobaan Untuk Auditing Entity-Level Controls

1. Tinjaulah struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi tersebut menyediakan penugasan yang jelas atas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
2. Tinjau proses perencanaan strategis TI dan pastikan bahwa itu selaras dengan strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.
3. Tinjau proses perencanaan strategis dan solusi yang selaras dengan strategi bisnis. Evaluasi proses TI untuk memantau kemajuan dari rencana strategis.
4. Tinjau indikator kinerja dan pengukuran untuk TI. Pastikan bahwa proses dan metrik tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk melacak kinerja terhadap perjanjian tingkat layanan, anggaran, dan persyaratan operasional lainnya.
5. Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini cukup untuk memastikan bahwa akuisisi sistem dan proyek pengembangan tidak dapat dimulai tanpa persetujuan. Pastikan bahwa manajemen dan pemangku kepentingan kunci meninjau status proyek, jadwal, dan anggaran secara berkala sepanjang masa proyek-proyek penting.
6. Mengevaluasi standar untuk mengatur pelaksanaan proyek-proyek TI dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. Tentukan bagaimana standar-standar ini dikomunikasikan dan ditegakkan.
7. Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
8. Tinjau dan evaluasi proses penilaian risiko di tempat untuk organisasi TI.
9. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan TI di perusahaan memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan mereka.
10. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengklasifikasikan data, melindungi data sesuai dengan klasifikasi mereka, dan menentukan siklus kehidupan data.
11. Pastikan bahwa ada proses yang efektif untuk mematuhi hukum dan peraturan yang berlaku yang memengaruhi TI dan untuk mempertahankan kesadaran akan perubahan dalam lingkungan peraturan.
12. Tinjau dan evaluasi proses untuk memastikan bahwa pengguna akhir lingkungan TI dapat melaporkan masalah, dilibatkan secara tepat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.
13. Tinjau dan evaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan memantau kinerjanya.
14. Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan.
15. Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang berlaku
16. Tinjau dan evaluasi kontrol atas akses jarak jauh ke jaringan perusahaan (seperti dial-up, VPN, koneksi eksternal khusus).
17. Pastikan bahwa prosedur perekrutan dan pemberhentian sudah jelas dan komprehensif.
18. Tinjau dan evaluasi kebijakan dan prosedur untuk mengontrol pengadaan dan pergerakan perangkat keras.
19. Pastikan konfigurasi sistem dikontrol dengan manajemen perubahan untuk menghindari pemadaman sistem yang tidak perlu.
20. Pastikan bahwa transportasi media, penyimpanan, penggunaan kembali, dan pembuangan ditangani secara memadai oleh kebijakan dan prosedur perusahaan.
21. Verifikasi bahwa pemantauan kapasitas dan perencanaan ditangani secara memadai oleh kebijakan dan prosedur perusahaan.
22. Berdasarkan struktur organisasi dan proses TI perusahaan Anda, identifikasi dan audit proses TI tingkat entitas lainnya.

 

 

1. AUDITING DATA CENTERS & DISASTER RECOVERY

Physical Security and Environmental Controls

Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut sebagai keamanan fisik dan kontrol lingkungan, yaitu :

1. Facility access control systems (sistem kontrol akses fasilitas)

Sistem kontrol akses fasilitas mengautentikasi pekerja sebelum memberikan entri fisik ke fasilitas, dengan tujuan melindungi sistem informasi yang berada di dalam pusat data.

2. Alarm systems (sistem alarm)

Karena api, air, tingkat panas dan kelembaban yang ekstrim, fluktuasi daya, dan gangguan fisik mengancam operasi pusat data, pusat data harus menerapkan beberapa jenis sistem alarm yang berbeda, seperti :

• Alarm pencuri (dengan pintu magnet, jendela, atau sensor kabinet; sensor gerak; dan terkadang sensor audio)
• Alarm kebakaran (biasanya panas dan / atau sensor yang diaktifkan oleh asap yang dipecah menjadi zona yang mencakup berbagai bagian fasilitas)
• Alarm air (biasanya dengan sensor di bawah lantai yang ditinggikan, dekat kamar mandi, atau di pipa saluran air)

3. Fire suppression systems (sistem pencegah kebakaran).

Karena banyaknya peralatan listrik, api merupakan ancaman utama bagi pusat data. Oleh karena itu, pusat data biasanya dilengkapi dengan sistem penekan api yang canggih dan harus memiliki sejumlah alat pemadam api yang cukup. Secara umum, sistem penahan api datang dalam dua varietas: sistem berbasis air dan sistem berbasis gas.

 

Data Center Operations

Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur :

• Physical access control (Kontrol akses fisik)
• System and facility monitoring (Pemantauan sistem dan fasilitas)
• Facility and equipment planning, tracking, and maintenance (Perencanaan fasilitas, peralatan, pelacakan, dan pemeliharaan)
• Response procedures for outages, emergencies, and alarm condition (Prosedur respons untuk pemadaman, keadaan darurat, dan kondisi alarm)

 

Disaster Preparedness (Kesiapsiagaan Bencana)

Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan bahwa ketika bencana melanda suatu pusat data, organisasi fasilitas seperti itu mulai berhenti. Tugas auditor adalah mengidentifikasi dan mengukur kontrol fisik dan administratif di fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk hal-hal berikut:

• System resiliency (Ketahanan sistem).
• Data backup and restore (Pencadangan dan pemulihan data).
• Disaster recovery planning (Perencanaan pemulihan bencana).

 

1. Auditing Switches, Routers, and Firewalls

Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh langkah-langkah khusus berlaku untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.

Langkah-langkah Audit Peralatan Jaringan Umum

1. Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.
2. Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.
3. Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.
4. Pastikan bahwa praktik manajemen SNMP yang baik diikuti.
5. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
6. Pastikan bahwa kontrol kata sandi yang sesuai digunakan.
7. Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.
8. Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.
9. Pastikan cadangan saat ini ada untuk file konfigurasi.
10. Evaluasilah penggunaan Network Time Protocol (NTP).
11. Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung menyadari kebijakan perusahaan untuk digunakan dan memantau.
12. Pastikan bahwa kontrol akses diterapkan ke port konsol.
13. Pastikan semua peralatan jaringan disimpan di lokasi yang aman.
14. Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.
15. Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat jaringan.

 

Kontrol Saklar Tambahan: Lapisan 2

1. Pastikan bahwa administrator menghindari menggunakan VLAN 1.
2. Evaluasilah penggunaan autonegosiasi batang.
3. Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU Guard, Root Guard).
4. Evaluasilah penggunaan VLAN pada jaringan.
5. Nonaktifkan semua port yang tidak digunakan dan letakkan di VLAN yang tidak digunakan.
6. Evaluasilah penggunaan VLAN Trunking Protocol (VTP) di lingkungan
7. Verifikasi bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast pada port.

Kontrol Router Tambahan: Layer 3

1. Pastikan bahwa antarmuka tidak aktif pada router dinonaktifkan.
2. Pastikan bahwa router dikonfigurasi untuk menyimpan semua dump inti.
3. Verifikasi bahwa semua pembaruan routing dikonfirmasi.
4. Verifikasi bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.

Kontrol Firewall Tambahan

1. Pastikan semua paket ditolak secara default.
2. Pastikan alamat IP internal dan eksternal yang tidak sesuai disaring.
3. Evaluasi set aturan firewall untuk memberikan perlindungan yang tepat.

 

1. Auditing Windows Operating Systems

Langkah-langkah pengujian untuk mengaudit Windows.

1. Pengaturan dan Kontrol Umum.
2. Dapatkan informasi sistem dan versi paket layanan dan bandingkan dengan persyaratan kebijakan.
3. Menentukan apakah server menjalankan firewall yang disediakan perusahaan.
4. Tentukan apakah server menjalankan program antivirus yang disediakan perusahaan.
5. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan manajemen server Anda.
6. Menentukan apakah server menjalankan solusi manajemen tambalan yang disediakan perusahaan.
7. Tinjau dan verifikasi informasi startup.
8. Layanan Ulasan, Aplikasi Terpasang, dan Tugas Terjadwal.
9. Tentukan layanan apa yang diaktifkan pada sistem, dan validasikan kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan layanan tersebut dan biarkan mereka diperbaiki.
10. Pastikan hanya aplikasi yang disetujui yang diinstal pada sistem sesuai kebijakan manajemen server Anda.
11. Pastikan bahwa hanya tugas terjadwal yang disetujui yang sedang berjalan.
12. Manajemen Akun dan Kontrol Kata Sandi
13. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya untuk kebutuhan bisnis yang sah. Tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
14. Pastikan bahwa semua pengguna dibuat di tingkat domain dan dianotasi dengan jelas di direktori aktif. Setiap pengguna harus melacak ke karyawan atau tim tertentu.
15. Tinjau dan evaluasi penggunaan kelompok, dan tentukan batasan penggunaannya.
16. Tinjau dan evaluasi kekuatan kata sandi sistem.
17. Evaluasi penggunaan kontrol kata sandi di server, seperti kebijakan penuaan kata, panjang, kompleksitas, sejarah, dan kebijakan lockout.
18. Tinjau Hak Pengguna dan Opsi Keamanan.
19. Tinjau dan evaluasi penggunaan hak-hak pengguna dan opsi keamanan yang diberikan kepada elemen-elemen dalam pengaturan kebijakan keamanan.

 

3. Keamanan dan Kontrol Jaringan
4. Tinjau dan evaluasi penggunaan dan kebutuhan untuk akses jarak jauh, termasuk koneksi RAS, FTP, Telnet, SSH, VPN, dan metode lainnya.
5. Pastikan spanduk peringatan hukum ditampilkan saat menghubungkan ke sistem.
6. Cari dan evaluasi penggunaan saham pada host.
7. Pastikan server telah mengaudit yang diaktifkan sesuai kebijakan organisasi Anda.
8. Tinjau dan evaluasi prosedur administrator sistem untuk memantau keadaan keamanan pada sistem.
9. Kerentanan Jaringan Pemindaian dan Pencegahan Intrusi
10. Jika Anda mengaudit lingkungan yang lebih besar (dibandingkan dengan satu atau dua sistem terisolasi), tentukan apakah ada standar untuk membangun sistem baru dan apakah baseline tersebut memiliki pengaturan keamanan yang memadai.
11. Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem yang Anda audit.

 

Cara Melakukan Audit yang Disederhanakan dari Klien Windows

1. Tentukan apakah klien menjalankan firewall yang disediakan perusahaan.
2. Tentukan apakah klien menjalankan program antivirus yang disediakan perusahaan.
3. Tentukan apakah klien menjalankan solusi manajemen tambalan yang disediakan perusahaan.
4. Tentukan apakah klien dilengkapi dengan paket layanan, perbaikan terbaru, dan perangkat lunak yang direkomendasikan minimum.
5. Pastikan bahwa klien memiliki semua yang berikut sesuai dengan Microsoft Baseline Security Analyzer (MBSA).
6. Pindai sistem menggunakan pemindai jaringan tingkat komersial.
7. Evaluasilah kontrol keamanan fisik selama walk-through.

 

 

1. Auditing Unix and Linux Operating Systems

Langkah-langkah Uji untuk Audit Unix dan Linux

1. Manajemen akun dan kontrol kata sandi
2. Tinjau dan evaluasi prosedur untuk membuat akun pengguna Unix atau Linux dan memastikan bahwa akun dibuat hanya jika ada kebutuhan bisnis yang sah. Selain itu, tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
3. Pastikan bahwa semua ID pengguna dalam file kata sandi adalah unik.
4. Pastikan bahwa kata sandi dibayangi dan gunakan hash yang kuat jika memungkinkan.
5. Evaluasi izin file untuk file kata sandi dan bayangan kata sandi.
6. Tinjau dan evaluasi kekuatan kata sandi sistem.
7. Evaluasi penggunaan kontrol kata sandi seperti penuaan.
8. Tinjau proses yang digunakan oleh administrator sistem untuk menetapkan kata sandi awal untuk pengguna baru dan mengomunikasikan kata sandi tersebut.
9. Pastikan bahwa setiap akun dikaitkan dengan dan dapat dilacak dengan mudah ke karyawan tertentu.
   Pastikan bahwa cangkang tidak sah telah ditempatkan pada semua akun yang dinonaktifkan.
10. Tinjau dan evaluasi akses ke akun superuser (tingkat akar) dan akun administrasi lainnya.
11. Tinjau dan evaluasi penggunaan kelompok dan tentukan batasan penggunaannya.
12. Evaluasi penggunaan kata sandi di tingkat grup.
13. Tinjau dan evaluasi keamanan direktori di jalur default yang digunakan oleh administrator sistem saat menambahkan pengguna baru. Evaluasi penggunaan “direktori saat ini” di jalur.
14. Tinjau dan evaluasi keamanan direktori di jalan akar. Evaluasi penggunaan “direktori saat ini” di jalur.
    Tinjau dan evaluasi keamanan direktori home dan file konfigurasi pengguna. Mereka umumnya harus ditulis hanya oleh pemiliknya.
15. Keamanan dan kontrol fil
16. Evaluasi hak akses file untuk sampel penghakiman file penting dan direktori terkait mereka.
17. Carilah direktori terbuka (direktori dengan izin yang disetel ke drwxrwxrwx) pada sistem dan tentukan apakah mereka harus memiliki set bit yang lengket
18. Evaluasi keamanan semua file SUID pada sistem, terutama yang SUID untuk “root.”
19. Tinjau dan evaluasi keamanan atas kernel.
20. Pastikan bahwa semua file memiliki pemilik sah di file / etc / passwd.
21. Pastikan bahwa perintah chown tidak dapat digunakan oleh pengguna untuk mengkompromikan akun pengguna.
22. Dapatkan dan evaluasi nilai umask default untuk server.
23. Periksa crontab sistem, terutama root, untuk entri yang tidak biasa atau mencurigakan.
    Tinjau keamanan file yang direferensikan dalam entri crontab, terutama root. Pastikan bahwa entri mengacu pada file yang dimiliki oleh dan dapat ditulis hanya oleh pemilik crontab dan bahwa file-file tersebut terletak di direktori yang dimiliki oleh dan dapat ditulis hanya oleh pemilik crontab.
24. Periksa jadwal sistem yang ada untuk entri yang tidak biasa atau mencurigakan.
25. Keamanan dan kontrol jaringan.
26. Tentukan layanan jaringan apa yang diaktifkan pada sistem, dan validasikan kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan layanan tersebut dan biarkan mereka diperbaiki.
27. Jalankan alat pemindaian kerentanan jaringan untuk memeriksa kerentanan saat ini di lingkungan.
28. Tinjau dan evaluasi penggunaan akses tepercaya melalui file / etc / hosts.equiv dan file .rhosts pengguna. Pastikan bahwa akses tepercaya tidak digunakan atau, jika dianggap mutlak diperlukan, dibatasi sejauh mungkin.
29. Tinjau dan evaluasi penggunaan akses tepercaya melalui kunci SSH.
30. Jika FTP anonim diaktifkan dan benar-benar diperlukan, pastikan bahwa itu dikunci dengan benar.
31. Jika NFS diaktifkan dan benar-benar diperlukan, pastikan bahwa itu dijamin dengan benar.
32. Tinjau untuk penggunaan protokol aman.
33. Tinjau dan evaluasi penggunaan file .netrc. Pastikan spanduk peringatan hukum ditampilkan ketika pengguna terhubung ke sistem.
34. Tinjau dan evaluasi penggunaan modem di server.
35. Log audit.
36. Tinjau kontrol untuk mencegah masuknya “root” secara langsung.
37. Tinjau log perintah su dan sudo untuk memastikan bahwa ketika perintah ini digunakan, mereka dicatat dengan tanggal, waktu, dan pengguna yang mengetikkan perintah.
38. Evaluasilah syslog untuk memastikan bahwa informasi yang memadai sedang diambil.
39. Evaluasi keamanan dan retensi log wtmp, sulog, syslog, dan log audit relevan lainnya.
40. Evaluasi keamanan atas file utmp.
41. Pemantauan keamanan dan kontrol umum.
42. Tinjau dan evaluasi prosedur administrator sistem untuk memantau keadaan keamanan pada sistem.
43. Jika Anda mengaudit lingkungan Unix / Linux yang lebih besar (sebagai lawan dari satu atau dua sistem terisolasi), tentukan apakah ada standar yang dibangun untuk sistem baru dan apakah baseline tersebut memiliki pengaturan keamanan yang memadai. Pertimbangkan untuk mengaudit sistem yang baru dibuat dari baseline.
44. Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem yang Anda audit.

 

 

1. Auditing Web Servers and Web Applications

Langkah-langkah Tes untuk Auditing Web Server

1. Verifikasi bahwa server web berjalan pada sistem khusus dan tidak bersama dengan aplikasi penting lainnya.
2. Verifikasi bahwa server web sepenuhnya ditambal dan diperbarui dengan kode yang disetujui terakhir.
3. Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu dihapus atau dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di bawah akun yang paling tidak diistimewakan.
4. Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk mengakses server web.
5. Verifikasi bahwa akun yang memungkinkan akses ke server web dikelola dengan tepat dan dikeraskan dengan kata sandi yang kuat.
6. Pastikan ada kontrol yang sesuai untuk file, direktori, dan direktori virtual.
7. Pastikan bahwa server web memiliki penebangan yang sesuai diaktifkan dan dijamin.
8. Pastikan bahwa ekstensi skrip dipetakan dengan tepat.
9. Periksa validitas dan penggunaan sertifikat server apa pun yang digunakan.

 

Langkah-langkah Tes untuk Aplikasi Web Audit

1. Pastikan aplikasi web terlindung dari serangan injeksi.
2. Tinjau situs web untuk kerentanan lintas situs-skrip.
3. Tinjau aplikasi untuk otentikasi rusak dan kerentanan manajemen sesi.
4. Pastikan bahwa referensi objek yang tepat dan kontrol otorisasi diberlakukan.
5. Pastikan bahwa ada kontrol untuk mencegah Pemalsuan Permintaan Lintas Situs (CSRF atau XSRF).
6. Tinjau kontrol di sekitar menjaga konfigurasi aman.
7. Pastikan bahwa mekanisme penyimpanan kriptografi aman digunakan dengan benar.
8. Pastikan bahwa kontrol yang tepat ada untuk membatasi pemfilteran URL.
9. Mengevaluasi mekanisme perlindungan lapisan transportasi (enkripsi lalu lintas jaringan) untuk melindungi informasi sensitif.
10. Tinjau pengalihan aplikasi web dan ke depan untuk memverifikasi bahwa hanya URL yang valid yang dapat diakses.

 

Langkah-langkah tambahan untuk Aplikasi Web Auditing

1. Verifikasi bahwa semua input divalidasi sebelum digunakan oleh server web.
2. Evaluasilah penggunaan penanganan kesalahan yang tepat.

 

1. Auditing Databases

Langkah-langkah untuk Database Auditing

1. Pengaturan dan Kontrol Umum.
2. Dapatkan versi basis data dan bandingkan dengan persyaratan kebijakan perusahaan Anda. Verifikasi bahwa database menjalankan versi perangkat lunak database yang terus didukung vendor.
3. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk menerapkan patch. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan manajemen basis data Anda.
4. Tentukan apakah membangun standar tersedia untuk sistem database baru dan apakah baseline itu memiliki pengaturan keamanan yang memadai.
5. Keamanan Sistem Operasi.
6. Pastikan bahwa akses ke sistem operasi dibatasi dengan benar.
7. Pastikan bahwa izin pada direktori tempat database diinstal, dan file database itu sendiri, dibatasi dengan benar.
8. Pastikan bahwa izin pada kunci registri yang digunakan oleh database benar dibatasi.
9. Manajemen Akun dan Perizinan
10. Tinjau Akun Database.
11. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya dengan kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan akun pengguna dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
12. Kekuatan Kata Sandi dan Fitur Manajemen
13. Periksa nama pengguna dan kata sandi default.
14. Periksa kata sandi yang mudah ditebak.
15. Periksa apakah kemampuan manajemen kata sandi diaktifkan.
16. Tinjau Hak Istimewa Database.
17. Verifikasi bahwa izin basis data diberikan atau dicabut secara tepat untuk tingkat otorisasi yang diperlukan.
18. Tinjau izin basis data yang diberikan kepada individu, bukan grup atau peran.
19. Pastikan bahwa perizinan database tidak secara implisit diberikan secara salah.
20. Tinjau SQL dinamis yang dijalankan dalam prosedur tersimpan.
    Pastikan bahwa akses tingkat baris ke data tabel diterapkan dengan benar.
21. Cabut izin PUBLIC jika tidak diperlukan.
22. Enkripsi Data
23. Verifikasi bahwa enkripsi jaringan diimplementasikan.
24. Verifikasi bahwa enkripsi data saat istirahat dilaksanakan jika diperlukan.
25. Pemantauan dan Manajemen
26. Verifikasi penggunaan yang tepat dari audit basis data dan pemantauan aktivitas.
27. Evaluasi bagaimana kapasitas dikelola untuk lingkungan database untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
28. Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan database untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

 

1. Auditing Storage

Test Steps for Auditing Storage

1. Pengaturan dan Kontrol Umum
2. Dokumentasikan arsitektur manajemen penyimpanan keseluruhan, termasuk perangkat keras dan infrastruktur jaringan pendukung.
3. Dapatkan versi perangkat lunak dan bandingkan dengan persyaratan kebijakan.
4. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan Anda.
5. Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan kebutuhan mereka dengan administrator sistem.
6. Manajemen Akun
7. Tinjau dan evaluasi prosedur untuk membuat akun administratif dan pastikan akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
8. Evaluasi proses dan kebijakan yang digunakan untuk memberikan dan mencabut akses ke penyimpanan.
9. Manajemen Penyimpanan
10. Evaluasi bagaimana kapasitas dikelola untuk lingkungan penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
11. Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
12. Evaluasi kebijakan, proses, dan kontrol untuk frekuensi pencadangan data, penanganan, dan penyimpanan jarak jauh.
13. Kontrol Keamanan Tambahan
14. Verifikasi bahwa enkripsi data-at-istirahat dilaksanakan jika diperlukan.
15. Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila diperlukan.
16. Mengevaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau firewall data yang sangat sensitif dari sisa lingkungan penyimpanan.
17. Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.
18. Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan Bencana,” karena mereka terkait dengan sistem yang Anda audit.

 

1. Auditing Virtualized Environments

Langkah-langkah untuk Mengaudit Virtualisasi

1. Pengaturan dan Kontrol Umum
2. Dokumentasikan arsitektur manajemen virtualisasi keseluruhan, termasuk perangkat keras dan infrastruktur jaringan pendukung.
3. Dapatkan versi perangkat lunak dari hypervisor dan bandingkan dengan persyaratan kebijakan.
4. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku. Pastikan bahwa semua patch yang disetujui dipasang sesuai dengan persyaratan kebijakan Anda.
5. Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan kebutuhan mereka dengan administrator sistem.
6. Penyediaan Akun dan Sumber Daya dan Deprovisioning.
7. Tinjau dan evaluasi prosedur untuk membuat akun administratif dan memastikan bahwa akun dibuat hanya ketika kebutuhan bisnis yang sah telah diidentifikasi. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
8. Verifikasi manajemen penyediaan dan deprovisioning mesin virtual baru yang tepat, termasuk sistem operasi yang sesuai dan lisensi aplikasi.
9. Pengelolaan Lingkungan Virtual
10. Evaluasi bagaimana kapasitas perangkat keras dikelola untuk lingkungan virtual untuk mendukung persyaratan bisnis yang ada dan yang akan datang.
11. Evaluasi bagaimana kinerja dikelola dan dipantau untuk lingkungan virtualisasi untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
12. Evaluasi kebijakan, proses, dan kontrol untuk frekuensi backup data, penanganan, dan manajemen offsite.
13. Tinjau dan evaluasi keamanan manajemen hypervisor jarak jauh Anda.
14. Kontrol Keamanan Tambahan.
15. Tinjau dan evaluasi keamanan di sekitar penyimpanan mesin virtual.
16. Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila diperlukan.
17. Evaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau firewall data yang sangat sensitif pada mesin virtual penting dari sisa lingkungan virtualisasi.
18. Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.
19. Evaluasi penggunaan kerangka dasar dan keamanan mesin virtual yang di-host sesuai dengan lingkup audit.
20. Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan Bencana,” dan Bab 10, “Penyimpanan Audit,” karena mereka berkaitan dengan lingkungan yang Anda audit.

 

 

1. Auditing WLAN and Mobile Devices

Langkah-langkah Tes untuk Audit LAN Nirkabel

Bagian 1: Audit Teknis WLAN

1. Pastikan bahwa titik akses menjalankan perangkat lunak terbaru yang disetujui.
2. Evaluasi kontrol di sekitar manajemen WLAN terpusat.
3. Verifikasi bahwa klien seluler Anda menjalankan perangkat lunak pelindung.
4. Evaluasi keamanan metode komunikasi yang dipilih.
5. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.
6. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

Bagian 2: Audit Operasional WLAN

1. Evaluasi prosedur yang berlaku untuk melacak tiket masalah pengguna akhir.
   Pastikan ada kebijakan keamanan yang sesuai untuk WLAN Anda.
2. Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses nirkabel jika terjadi
3. Evaluasi apakah proses manajemen perubahan yang efektif ada.

 

Langkah-langkah Tes untuk Mengaudit Perangkat Seluler

Bagian 1: Audit Teknis Perangkat Seluler

1. Pastikan perangkat lunak manajemen perangkat seluler menjalankan perangkat lunak dan tambalan yang disetujui terbaru.
2. Pastikan bahwa klien seluler memiliki fitur pelindung yang diaktifkan jika mereka diwajibkan oleh kebijakan keamanan perangkat seluler Anda.
3. Tentukan efektivitas kontrol keamanan perangkat di sekitar melindungi data ketika peretas memiliki akses fisik ke perangkat.
4. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.
5. Pastikan perangkat yang tidak dikelola tidak digunakan di jaringan. Evaluasi kontrol atas perangkat yang tidak dikelola.

Bagian 2: Audit Operasional Perangkat Seluler

1. Evaluasi prosedur di tempat untuk melacak tiket masalah pengguna akhir.
2. Pastikan bahwa ada kebijakan keamanan yang sesuai untuk perangkat seluler Anda.
3. Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses perangkat seluler jika terjadi bencana.
4. Evaluasilah apakah ada proses manajemen perubahan yang efektif.
5. Evaluasi kontrol di tempat untuk mengelola siklus hidup layanan dari perangkat milik pribadi dan milik perusahaan dan akun terkait yang digunakan untuk gateway.

 

 

1. Auditing Applications

Praktik terbaik ini dapat membantu Anda menemukan kelemahan umum dan kontrol yang buruk dengan cepat.

1. Terapkan Defense-in-Depth

Pendekatan berlapis memberikan keamanan lebih dalam jangka panjang daripada satu massa rumit arsitektur keamanan

2. Gunakan Model Keamanan Positif

Model keamanan positif (daftar putih) hanya mengizinkan apa yang ada dalam daftar, tidak termasuk yang lainnya secara default. Namun demikian, model keamanan negatif (daftar hitam) memungkinkan semuanya karena kesalahan, hanya menghilangkan barang-barang yang Anda tahu buruk

3. Gagal dengan Aman

Ketika suatu aplikasi gagal, itu dapat ditangani dengan tiga cara: memungkinkan, memblokir, atau kesalahan. Secara umum, kesalahan aplikasi harus gagal dengan cara yang sama seperti operasi yang tidak diizinkan, seperti yang dilihat dari pengguna akhir.

4. Jalankan dengan Least Privilege

Prinsip hak istimewa yang paling sedikit mengamanatkan bahwa akun memiliki jumlah hak seminimum mungkin untuk melakukan kegiatan mereka.

5. Hindari Keamanan oleh Ketidakjelasan

Mengaburkan data, atau menyembunyikannya daripada mengenkripsinya, adalah mekanisme keamanan yang sangat lemah, terutama untuk aplikasi

6. Jaga Keamanan Sederhana

Mekanisme keamanan sederhana mudah diverifikasi dan mudah diterapkan dengan benar.

7. Deteksi Intrus dan Simpan Log

Aplikasi harus memiliki logging internal yang dilindungi dan mudah dibaca. Log membantu Anda memecahkan masalah dan, sama pentingnya, membantu Anda melacak kapan atau bagaimana suatu aplikasi dikompromikan.

8. Jangan Percaya pada Infrastruktur dan Layanan Eksternal

Banyak organisasi menggunakan kemampuan pemrosesan mitra pihak ketiga yang kemungkinan besar memiliki kebijakan keamanan dan postur yang berbeda dengan Anda

9. Tetapkan Default Aman

Aplikasi Anda akan sampai kepada Anda atau disajikan kepada pengguna dengan pengaturan default paling aman yang memungkinkan bisnis tetap berfungsi

10. Gunakan Standar Terbuka

Sedapat mungkin, keamanan dasar pada standar terbuka untuk meningkatkan portabilitas dan interop-erability.

 

Langkah Tes untuk Aplikasi Audit

1. Kontrol Masukan
2. Tinjau dan evaluasi kontrol yang dibangun ke dalam transaksi sistem atas input data.
3. Tentukan kebutuhan untuk laporan kesalahan / pengecualian yang terkait dengan integritas data dan evaluasi apakah kebutuhan ini telah diisi.
4. Kontrol Antarmuka
5. Tinjau dan evaluasi kontrol yang ada di atas umpan data ke dan dari sistem interfacing.
6. Jika data yang sama disimpan dalam beberapa basis data dan / atau sistem, pastikan bahwa proses sinkronisasi periodik dijalankan untuk mendeteksi ketidakkonsistenan dalam data.
7. Jalur Audit
8. Tinjau dan evaluasi jejak audit yang ada dalam sistem dan kontrol atas jejak audit tersebut.
9. Pastikan bahwa sistem menyediakan sarana pelacakan transaksi atau bagian data dari awal hingga akhir proses yang dimungkinkan oleh sistem.
10. Kontrol Akses
11. Pastikan bahwa aplikasi menyediakan mekanisme yang mengautentikasi pengguna berdasarkan, minimal, pada pengenal unik untuk setiap pengguna dan kata sandi rahasia.
12. Tinjau dan evaluasi mekanisme otorisasi aplikasi untuk memastikan bahwa pengguna tidak diizinkan mengakses transaksi atau data sensitif apa pun tanpa terlebih dahulu diotorisasi oleh mekanisme keamanan sistem.
13. Pastikan bahwa mekanisme keamanan / otorisasi sistem memiliki fungsi administrator dengan kontrol dan fungsi yang sesuai.
14. Tentukan apakah mekanisme keamanan memungkinkan proses persetujuan yang berlaku.
15. Tinjau dan evaluasi proses untuk memberikan akses kepada pengguna. Pastikan bahwa akses hanya diberikan jika ada kebutuhan bisnis yang sah.
16. Tinjau proses untuk menghapus akses pengguna ketika tidak lagi diperlukan. Pastikan bahwa ada mekanisme atau proses yang menangguhkan akses pengguna pada penghentian dari perusahaan atau pada perubahan pekerjaan di dalam perusahaan.
17. Verifikasi bahwa aplikasi memiliki kontrol kata sandi yang sesuai. Juga, tentukan apakah kata sandi akun aplikasi default telah diubah.
18. Pastikan bahwa pengguna secara otomatis keluar dari aplikasi setelah periode tidak aktif tertentu.
19. Evaluasilah penggunaan teknik enkripsi untuk melindungi data aplikasi.
20. Mengevaluasi akses pengembang aplikasi untuk mengubah data produksi.
21. Kontrol Perubahan Perangkat Lunak
22. Pastikan bahwa perangkat lunak aplikasi tidak dapat diubah tanpa melalui proses checkout / pementasan / pengujian / persetujuan standar setelah dimasukkan ke dalam produksi.
23. Evaluasilah kontrol terkait checkout kode dan pembuatan versi.
24. Evaluasi kontrol mengenai pengujian kode aplikasi sebelum dimasukkan ke dalam lingkungan produksi.
25. Mengevaluasi kontrol tentang penjadwalan batch.
26. Backup dan Pemulihan
27. Menentukan apakah Analisis Dampak Bisnis (BIA) telah dilakukan pada aplikasi untuk menetapkan kebutuhan cadangan dan pemulihan.
28. Pastikan bahwa kontrol pencadangan yang tepat sudah tersedia.
29. Pastikan bahwa kontrol pemulihan yang tepat sudah tersedia.
30. Penyimpanan Data dan Klasifikasi dan Keterlibatan Pengguna
31. Mengevaluasi kontrol terkait retensi data aplikasi.
32. Evaluasilah kontrol terkait klasifikasi data dalam aplikasi.
33. Evaluasi keseluruhan keterlibatan pengguna dan dukungan untuk aplikasi.

 

 

1. Auditing Cloud Computing and Outsourced Operations

Cloud Computing

Pada dasarnya, komputasi awan menyediakan layanan TI melalui Internet sedemikian rupa sehingga pengguna akhir tidak perlu khawatir tentang di mana data disimpan, di mana struktur-in berada, dan seterusnya.

 

IT Service Outsourcing

Layanan TI outsourcing adalah praktik menyewa perusahaan lain untuk melakukan beberapa atau semua fungsi operasi TI Anda (yaitu, menyewa perusahaan untuk menyediakan orang-orang dan proses yang diperlukan untuk melakukan fungsi). Operasi yang biasanya di-operasikan di dalam operasi-operasi bantuan meja tulis dan dukungan PC.

 

SAS 70 Reports

Ketika mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Auditing Stan-dards) 70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American Institute of Certified Public Accountants (AICPA) untuk menangani organisasi layanan. Ini secara esensial menyediakan standar di mana organisasi layanan (seperti yang menyediakan layanan TI) dapat menunjukkan efektivitas kontrol internal mereka tanpa harus mengizinkan setiap pelanggan mereka untuk datang dan melakukan audit mereka sendiri.
Dengan standar ini, organisasi layanan dapat menyewa auditor layanan independen bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan mengeluarkan laporan.

 

Langkah-langkah Tes untuk Audit Komputasi Awan dan Operasi Outsourced

1. Preliminary and Overview
2. Tinjau langkah-langkah audit dalam bab-bab lain di bagian buku ini dan tentukan langkah-langkah risiko dan audit yang berlaku untuk audit yang dilakukan atas operasi yang dialihdayakan. Lakukan langkah-langkah audit yang berlaku.
3. Mintalah penyedia layanan Anda untuk menghasilkan jaminan independen dari pihak ketiga yang bereputasi baik mengenai keefektifan pengendalian internal mereka dan kepatuhan terhadap peraturan yang berlaku. Tinjau dokumentasi untuk masalah yang telah dicatat. Selain itu, tentukan seberapa erat sertifikasi ini sesuai dengan tujuan kontrol perusahaan Anda dan identifikasi kesenjangan.
4. Pemilihan dan Kontrak Vendor
5. Tinjau kontrak yang berlaku untuk memastikan bahwa mereka mengidentifikasi semua pengiriman, persyaratan, dan tanggung jawab yang terkait dengan keterlibatan perusahaan Anda secara memadai.
6. Tinjau dan evaluasi proses yang digunakan untuk memilih vendor outsourcing.
7. Keamanan Data
8. Tentukan bagaimana data Anda dipisahkan dari data pelanggan lain.
9. Tinjau dan evaluasi penggunaan enkripsi untuk melindungi data perusahaan yang disimpan dan dikirimkan ke situs vendor.
10. Tentukan bagaimana karyawan vendor mengakses sistem Anda dan bagaimana data dikontrol dan dibatasi.
11. Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan ke jaringan internal Anda dan sistem internal.
12. Pastikan bahwa data yang disimpan di lokasi vendor dilindungi sesuai dengan kebijakan internal Anda.
13. Tinjau dan evaluasi kontrol untuk mencegah, mendeteksi, dan bereaksi terhadap serangan.
14. Tentukan bagaimana manajemen identitas dilakukan untuk sistem berbasis cloud dan host.
15. Pastikan bahwa retensi data dan praktik perusakan untuk data yang disimpan di luar kantor mematuhi kebijakan internal.
16. Tinjau dan evaluasi keamanan fisik vendor.
17. Operasi
18. Tinjau dan evaluasi proses perusahaan Anda untuk memantau kualitas operasi yang dialihdayakan. Tentukan bagaimana kepatuhan dengan SLA dan persyaratan kontrak lainnya dimonitor.
19. Pastikan bahwa proses pemulihan bencana yang memadai tersedia untuk menyediakan kelangsungan bisnis jika terjadi bencana di penyedia layanan Anda.
20. Tentukan apakah proses tata kelola yang tepat sudah ada selama keterlibatan layanan cloud baru oleh karyawan perusahaan Anda.
21. Tinjau dan evaluasi rencana perusahaan Anda jika ada penghentian hubungan outsourcing yang diharapkan atau tidak diharapkan.
22. Jika layanan TI telah dialihdayakan, tinjau proses penyedia layanan untuk memastikan kualitas staf dan meminimalkan dampak dari perputaran. Jika layanan tersebut dilakukan di luar negeri, carilah kontrol tambahan untuk memastikan kehadiran karyawan dan komunikasi yang efektif dan penyerahan dengan kantor pusat.
23. Kepedulian Hukum dan Kepatuhan terhadap Peraturan.
24. Tinjau dan evaluasi hak dan kemampuan perusahaan Anda untuk memperoleh informasi dari vendor yang mungkin diperlukan untuk mendukung penyelidikan.
25. Tinjau persyaratan untuk pemberitahuan pelanggaran keamanan. Pastikan bahwa persyaratan secara jelas ditentukan mengenai kapan dan bagaimana vendor harus memberi tahu perusahaan Anda jika terjadi pelanggaran keamanan dan bahwa perusahaan Anda telah menetapkan prosedur respons dengan jelas ketika mereka menerima pemberitahuan tersebut.
26. Tentukan bagaimana kepatuhan dengan undang-undang privasi yang berlaku dan peraturan lainnya dipastikan.
27. Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang berlaku untuk perangkat lunak yang dihosting di luar kantor atau digunakan oleh non-karyawan.

 

1. Auditing Company Projects

Langkah Tes untuk Mengaudit Proyek Perusahaan

1. Manajemen Proyek Secara Keseluruhan.
2. Pastikan dokumentasi proyek yang cukup dan dokumentasi proses pengembangan perangkat lunak (jika ada) telah dibuat. Pastikan bahwa standar metodologi proyek perusahaan sedang diikuti.
3. Tinjau prosedur untuk memastikan bahwa dokumentasi proyek selalu diperbarui.
4. Evaluasilah keamanan dan proses manajemen perubahan untuk dokumentasi proyek yang kritis.
5. Evaluasi prosedur untuk mencadangkan perangkat lunak dan dokumentasi proyek kritis. Pastikan bahwa cadangan disimpan di luar lokasi dan prosedur terdokumentasi ada untuk pemulihan.
6. Pastikan bahwa ada proses yang efektif untuk menangkap masalah proyek, mengeskalasi masalah-masalah tersebut sebagaimana mestinya, dan melacaknya ke resolusi.
7. Pastikan bahwa ada proses yang efektif untuk menangkap permintaan perubahan proyek, memprioritaskannya, dan membedahnya.
8. Verifikasi bahwa jadwal proyek telah dibuat dan mengandung cukup detail berdasarkan ukuran proyek. Pastikan bahwa ada proses untuk memantau kemajuan dan melaporkan penundaan yang signifikan.
9. Pastikan bahwa ada metode untuk melacak biaya proyek dan pelaporan yang berlebihan. Pastikan bahwa semua biaya proyek, termasuk tenaga kerja, dipertimbangkan dan dilacak.
10. Mengevaluasi struktur kepemimpinan proyek untuk memastikan bahwa baik bisnis dan TI diwakili secara memadai.

 

2. Proyek Start-up: Persyaratan Gathering dan Desain Awal
3. Pastikan bahwa proses persetujuan proyek yang sesuai diikuti sebelum inisiasi proyek.
4. Pastikan bahwa analisis kelayakan teknis telah dilakukan bersama, jika berlaku, analisis kelayakan oleh departemen hukum perusahaan.
5. Tinjau dan evaluasi dokumen persyaratan. Tentukan apakah dan bagaimana persyaratan pelanggan untuk proyek diperoleh dan didokumentasikan sebelum pengembangan terjadi. Pastikan bahwa pelanggan menandatangani persyaratan dan bahwa persyaratan tersebut mencakup elemen TI standar.
6. Evaluasi proses untuk memastikan bahwa semua kelompok yang terkena dampak yang akan membantu mendukung sistem, perangkat lunak, atau proses terlibat dalam proyek dan akan menjadi bagian dari proses sign-off, yang menunjukkan kesiapan mereka untuk mendukungnya.
7. Tinjau proses untuk menetapkan prioritas persyaratan.
8. Tentukan apakah persyaratan sistem dan rancangan awal memastikan bahwa kontrol internal dan elemen keamanan yang sesuai akan dirancang ke dalam sistem, proses, atau perangkat lunak.
9. Jika proyek melibatkan pembelian perangkat lunak, teknologi, atau layanan eksternal lainnya, tinjau dan evaluasi proses pemilihan vendor dan kontrak terkait.

 

3. Desain Rinci dan Pengembangan Sistem
4. Pastikan bahwa semua persyaratan dapat dipetakan ke elemen desain.
5. jika para pemangku kepentingan kunci telah menandatangani dokumen desain terperinci atau katalog “use case”.
6. Tinjau proses untuk memastikan keterlibatan pelanggan yang berkelanjutan dengan memprioritaskan tugas pada proyek.
7. Carilah bukti ulasan rekan dalam desain dan pengembangan.
8. Verifikasi bahwa kontrol dan keamanan internal yang sesuai telah dirancang ke dalam sistem.

 

4. Pengujian
5. Verifikasi bahwa desain dan pengujian terjadi dalam lingkungan pengembangan / pengujian dan bukan di lingkungan produksi.
6. Tinjau dan evaluasi proses pengujian. Pastikan bahwa proyek memiliki rencana uji yang memadai dan mengikuti rencana uji ini.
7. Pastikan bahwa semua persyaratan dapat dipetakan ke test case.
8. Pastikan bahwa pengguna terlibat dalam pengujian dan setuju bahwa sistem memenuhi persyaratan. Ini harus mencakup personil TI yang akan mendukung sistem dan personel TI yang terlibat dalam melakukan studi kelayakan teknis awal untuk proyek tersebut.
9. Pertimbangkan berpartisipasi dalam pengujian penerimaan pengguna dan validasi bahwa keamanan sistem dan kontrol internal berfungsi sebagaimana dimaksud.

 

5. Implementasi
6. Pastikan bahwa ada proses yang efektif untuk merekam, melacak, mengeskalasi, dan menyelesaikan masalah yang muncul setelah implementasi.
7. Tinjau dan evaluasi rencana konversi proyek. Pastikan bahwa proyek memiliki rencana konversi yang memadai dan ikuti rencana ini.
8. Tinjau rencana untuk mengubah dukungan sistem atau perangkat lunak baru dari tim proyek ke tim dukungan operasional.
9. Pastikan bahwa dokumentasi yang memadai telah dibuat untuk penggunaan sistem atau proses yang sedang dikembangkan dan pemeliharaan sistem atau perangkat lunak. Evaluasi proses untuk menjaga dokumentasi tetap mutakhir. Evaluasilah perubahan kontrol dan keamanan atas dokumentasi itu.

 

6. Pelatihan
7. Tinjau rencana untuk memastikan bahwa semua pengguna yang terkena dampak dilatih dalam penggunaan sistem, perangkat lunak, atau proses baru.
8. Pastikan bahwa ada proses untuk menjaga materi pelatihan selalu terbaru. Evaluasi kontrol perubahan dan keamanan atas materi pelatihan.

 

7. Penggelapan Proyek
   Pastikan bahwa ada proses untuk menutup proyek dan mencatat pelajaran yang didapat dan bahwa prosesnya diikuti.

 

REGULAI AUDIT

1. Pengantar Legislasi Terkait dengan Kontrol Internal

Motivasi untuk pembuatan dan adopsi legislasi jauh lebih kompleks daripada yang terlihat. Kepentingan nasional, kepedulian industri, dan perebutan korporasi menciptakan pengemudi politik yang kuat. Politik dapat memiliki konotasi negatif, tetapi dalam konteks ini, “politik” hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan atau melindungi sekelompok orang yang representatif. Negara, industri, dan perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka. Standar dan legislasi adalah dua metode yang memastikan kekhawatiran ini terpenuhi.

 

1. The Sarbanes-Oxley Act of 2002

The Sarbanes-Oxley Act dan Public Company Accounting Oversight Board (PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah penipuan korporasi dan akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap SOX berfokus pada kontrol utama yang penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.

 

1. Gramm-Leach-Bliley Act

Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.

 

1. Peraturan Privasi
2. California SB 1386

California SB 1386 adalah salah satu hukum negara bagian pertama dan tentu saja yang paling terlihat yang berurusan dengan pelanggaran keamanan yang menyebabkan informasi pribadi untuk diungkapkan.

2. Hukum Privasi Internasional

Meskipun undang-undang privasi A.S., termasuk SB 1386, menjadi lebih umum, beberapa undang-undang privasi internasional lebih ketat.

3. Peraturan Eropa tentang Perlindungan Data Pribadi

Pada bulan Oktober 1995, Uni Eropa mengeluarkan Petunjuk Eropa tentang Perlindungan Data Pribadi. Arahan mengatur informasi pribadi dalam semua negara anggota Uni Eropa dan menempatkan persyaratan perlindungan minimum di atasnya.

4. PIPEDA Kanada

Kanada memberlakukan undang-undang privasi nasional ini pada tahun 2004. Ini menetapkan ketentuan berikut untuk mengatur pengumpulan, penggunaan, dan pengungkapan informasi pribadi:

1. Pihak yang terlibat dalam pengumpulan informasi harus menunjukkan akuntabilitas.
2. Pengumpul informasi harus mengidentifikasi tujuan untuk pengumpulan informasi pribadi.
3. Pengumpul informasi harus mendapatkan persetujuan dari konsumen.
4. Pengumpulan informasi pribadi harus dibatasi.
5. Penggunaan informasi pribadi harus dibatasi.
6. Pengungkapan dan penyimpanan informasi pribadi harus dibatasi.
7. Pengumpul informasi harus memastikan keakuratan informasi pribadi.
8. Pengumpul informasi harus menyediakan keamanan yang memadai untuk melindungi informasi pribadi.
9. Pengumpul informasi harus membuat kebijakan manajemen informasi tersedia.
10. Pengumpul informasi harus memberi individu akses ke informasi tentang diri mereka sendiri.
11. Individu diberikan hak untuk menantang kepatuhan organisasi terhadap prinsip-prinsip ini.

5. Tren Hukum Privasi

Salah satu konsekuensi dari California SB 1386 adalah adopsi versi identik atau hampir identik dari tagihan oleh negara-negara lain di Amerika Serikat.Mengikuti berbagai macam hukum yang serupa merupakan tugas yang penting.

 

1. Portabilitas Asuransi Kesehatan dan Akuntabilitas Act of 1996

Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA). Tindakan itu mencakup dua bagian. Judul I memberikan perlindungan asuransi kesehatan setelah karyawan kehilangan atau mengganti pekerjaan. Judul II berkaitan dengan tindakan administratif yang cenderung menyederhanakan dan menstandardisasi informasi kesehatan.

 

1. Komisi Uni Eropa dan Basel II

Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan dalam mengaudit standar, pengawasan, dan tanggung jawab dengan membuat arahan terkait dengan keuangan, transparansi, audit, standar akuntansi, dan informasi perusahaan jasa. Perbedaan utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE tidak merekomendasikan tingkat penegakan hukum.

Meskipun undang-undang SOX berasal dari Amerika Serikat, undang-undang itu memiliki konsekuensi bagi perusahaan yang bermarkas di negara lain. Standar profesional Eropa yang berkembang seperti standar yang ditetapkan oleh Dewan Standar Akuntansi Internasional dan Basel II Capital Accord juga akan terus mempengaruhi banyak perusahaan multinasional.

 

1. Standar Keamanan Data Industri Kartu Pembayaran (PCI)

Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa. Program CISP dimaksudkan untuk memastikan tingkat keamanan informasi yang tinggi untuk data pemegang kartu Visa. Standar keamanan berlaku untuk semua bank anggota Visa, pedagang yang menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang kartu Visa. Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan

Data Industri Kartu Pembayaran. Penerbit kartu lainnya mulai mengadopsi standar dan pada 7 September 2006, American Express, Discover Financial Services, JCB, MasterCard Worldwide, dan Visa International menciptakan Dewan Standar Keamanan Industri Kartu Pembayaran. Situs web mereka terletak online di http://www.pcisecuritystandards.org. Versi internasional dari program VISA CISP yang disebut Keamanan Informasi Akun Visa (AIS) berlaku untuk entitas yang tidak berbasis di AS.

 

1. Tren Peraturan Lainnya

Ketika komputer menjamur di masa kejayaan tahun 1980-an dan 1990-an, kontrol internal atas TI gagal mengikuti arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan keras terhadap kontrol internal yang dimulai atas pelaporan keuangan telah diperluas untuk menyertakan TI, dan memang seharusnya demikian.

Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi krisis, perlindungan data dan privasi adalah topik yang sangat mendesak bagi legislator.

 

 

FRAMEWORK AND STANDARDS

1. Pengantar pengendalian TI internal, kerangka kerja, dan standar

Pada tahun 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan menjadi semakin meningkatkan permintaan akan akuntabilitas dan transparansi yang lebih besar di antara perusahaan-perusahaan yang dimiliki publik.

Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit.

Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor swasta independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO memformalkan konsep pengendalian internal dan kerangka kerja pada tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.

 

1. Committee of Sponsoring Organizations (COSO)

            Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan terhadap krisis keuangan AS yang meningkat dan jeritan untuk melihat praktik akuntansi dan audit pemerintah.

COSO menerbitkan pedoman formal pertama untuk kontrol internal, Kerangka Kerja Internal-Integrated, pada tahun 1992.

Publikasi ini menetapkan definisi umum untuk pengendalian internal dan kerangka kerja yang dapat digunakan organisasi untuk menilai dan meningkatkan sistem kontrol mereka. Pada tahun 1994, pekerjaan COSO disahkan oleh kepala Kantor Akuntan Umum (GAO) dari Kongres AS.

Pada tahun 2001, COSO memulai inisiatif besar kedua yang bertujuan memperluas kerja sebelumnya pada kontrol internal untuk mengatasi penekanan yang semakin besar pada manajemen risiko. Pada waktu yang hampir bersamaan, Amerika Serikat dibebani dengan kegagalan sensasional Enron, Tyco, Global Crossing, Kmart, Adelphia, WorldCom, HealthSouth, dan banyak lainnya.

Pemerintah AS dengan cepat memberlakukan Undang-Undang Sarbanes-Oxley tahun 2002 untuk mengamanatkan persyaratan untuk kontrol internal yang diaudit bersama dengan laporan keuangan.

Di tengah-tengah semua aktivitas profil tinggi ini, COSO menerbitkan Enterprise Risk Management – ​​Integrated Framework pada tahun 2004.

 

1. COBIT

COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.

COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI. Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide terbaik dari semua standar teknis dan profesional yang baik.

 

1. IT Infrastructure Library (ITIL)

IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen dan penyediaan layanan di bidang infrastruktur. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka kerja terbaik ITIL.

ITIL berevolusi sebagai akibat dari ketergantungan bisnis yang meningkat pada TI dan telah menikmati pengakuan dan adopsi global yang berkembang dari berbagai ukuran organisasi.

Tidak seperti banyak standar dan kerangka kerja, adopsi ITIL yang luas telah menyebabkan berbagai vendor produk komersial dan tidak-untuk-profit untuk mengembangkan produk yang secara langsung mendukung ITIL.

Selain itu, pertumbuhan ITIL telah dilengkapi dengan proliferasi konsultansi profesional dan sertifikasi manajer ITIL yang menyediakan akses siap ke manfaat yang diperlukan untuk merencanakan, mengkonfigurasi, dan menerapkan standar.

 

1. ISO 27001

Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai bisnis dan fungsi pemerintah .

ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah rangkaian standar yang sama yang berkaitan dengan beberapa aspek praktik keamanan informasi, manajemen keamanan informasi, dan manajemen risiko keamanan informasi.

 

1. MEtodologi Penilaian NSA INFOSEC

Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan dan saat ini dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.

 

1. Kerangka dan Kecenderungan Standar

Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan menyederhanakan pengembangan produk teknologi, struktur organisasi, dan tujuan pengendalian. Sudut pandang lain menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan lain yang berbeda memastikan kerangka kendali yang diterima secara universal tidak akan pernah dibuat. Kebenaran mungkin terletak di suatu tempat di tengah. Meskipun satu set standar internasional belum dekat, alat-alat yang diuraikan dalam bab ini masih kurang berfungsi untuk menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.

 

 

 

 

RISK MANAGEMENT

1. Manfaat Manajemen Risiko

Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.

 

1. Unsur Risiko
2. Assets

Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi.

2. Ancaman

Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.

3. Kerentanan

Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.

 

1. Analisis Risiko Kuantitatif

Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:

Risiko = nilai aset × ancaman × kerentanan

 

1. Analisis Risiko Kualitatif

Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko.

Seperti disebutkan sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif saling melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk investasi mitigasi risiko.

 

1. Siklus Hidup Manajemen Risiko TI

Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil karakteristik siklus hidup (Gambar 18-1). Ini dapat dibagi menjadi beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:

• Fase 1: Identifikasi Aset Informasi

Tujuan fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya.

• Fase 2: Hitung dan Kualifikasi Ancaman

Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka tidak diidentifikasi dengan benar.

• Fase 3: Menilai Kerentanan

Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi.

• Fase 4: Remediasi Celah Kontrol

Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.

• Fase 5: Mengelola Risiko Residual

Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk menanggapi ancaman yang muncul

5 KELEBIHAN DAN 3 KEKURANGAN YANG ADA PADA DIRI SAYA

Klik Untuk Melihat Video

Kelebihan/Potensi :

1. Suka Melakukan Hal-Hal Baru
2. Sering Memikirkan Ide-Ide Kreatif
3. Bisa Bergaul Dengan Semua Orang
4. Tidak Mudah Tersinggung
5. Tidak Mudah Terpengaruh Orang

Kekurangan :

1. Kurang Memiliki Semangat Belajar
2. Menunda-nunda Pekerjaan
3. Susah Bangun Pagi

Cara Mengatasi Kekurangan Tersebut :

Maka dari itu untuk mengatasi kekurangan yang ada, saya harus lebih semangat, lebih giat mengerjakan pekerjaan, dan tidur lebih awal.

Klik Untuk Melihat Video