Professional Documents
Culture Documents
IT Audit Methodologies
Metodologi IT Audit
audit subject menentukan apa yang akan di audit audit objective menentukan tujuan dari audit audit scope menentukan system, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit preaudit planning : mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit. audit procedures dan steps for data gathering menentukan cara malakukan audit untuk memeriksa dan menguji kontrol, menentukan siapa yang akan diwawancarai. evaluasi hasil pengujian dan pemeriksaan spesifik pada tiap organisasi. prosedur komunikasi dengan pihak manajemen : spesifik pada tiap organisasi audir report preparation (menentukan bagaimana cara mereview hasil audit) : evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Metodologi IT Audit
Computer Assisted Audit Techniques (CAATs) CobiT International Organization for Standardization (ISO) BS 7799 - Code of Practice (CoP) BSI - IT Baseline Protection Manual ITSEC Common Criteria (CC)
Menggunakan komputer sebagai audit tool Termasuk beberapa tipe tool dan teknik seperti : audit software, data analysis application, test data, software tracing Contohnya : ACL, IDEA, Monarch, dll
CobiT 2: 1998
34 Processes 302 Control Objectives
CobiT - Framework
CobiT - Struktur
4 Domains
PO - Perencanaan & Organisasi (Planning and Organization)
11 proses (high-level control objectives)
M - Monitoring
4 proses (high-level control objectives)
Proses IT
Microsoft Excel-Tabelle
CobiT - Kesimpulan
Utamanya digunakan untuk IT audits, security aspects Tidak ada detail evaluasi mengenai deskripsi metodologi Dikembangkan oleh organisasi internasional (ISACA) Up-to-date: Versi 2 dirilis pada 1998 Hanya mendeskripsikan tujuan high-level control Detail tentang ukuran IT control tidak didokumentasikan Tidak user friendly - learning curve! Hasil evaluasi tidak ditunjukkan pada bentuk grafik
CobiT - Kesimpulan
Mungkin digunakan untuk self assessments Useful aid dalam implementasi Sistem IT control Tidak cocok basis ke write security handbook CobiT package dari ISACA: $ 100.-3 bagian didownload gratis dari site ISACA Software available dari Methodware Ltd., NZ (www.methodware.co.nz) CobiT Advisor 2nd edition: US$ 600.--
Definisi Security
Confidentialitas Integritas
Correctness (Pembetulan) Completeness (Pelengkap)
Availabilitas
M - Monitoring
M1 M2 M3 M4 Memonitor Processes Assess Internal Control Adequacy Obtain Independent Assurance Menyetujui Independent Audit
BS 7799 - CoP
Code of Practice untuk Inform. Security Manag. Dikembangkan oleh UK DTI, BSI: British Standard Rilis
CoP: 1993 BS 7799: Bagian 1: 1995 BS 7799: Bagian 2: 1998
Sertifikasi & Akreditasi scheme (c:cure)
BS7799 - Kesimpulan
Penggunaan utama : Security Konsep & Health Checks Tidak ada detail evaluasi mengenai deskripsi metodologi British Standard, dikembangkan oleh UK DTI Sertifikasi scheme in place (c:cure) BS7799, Part1, 1995 telah direvisi pada 1999 Lists 109 siap-untuk-menggunakan security controls Tidak ada detail ukuran security yang dideskripsikan Sangat user friendly mudah untuk belajar
BS7799 - Kesimpulan
Hasil evaluasi tidak ditunjukkan pada bentuk grafik Mungkin digunakan untuk self assessments BS7799, Bagian1: 94.-BS7799, Bagian2: 36.-BSI Electronic book dari Bagian 1: 190.-- + VAT Several BS7799 c:cure publikasi dari BSI CoP-iT software dari SMH, UK: 349+VAT (www.smhplc.com)
BSI - Approach
Digunakan untuk mendeterminasikan ukuran IT security untuk kebutuhan medium-level protection Straight forward approach sejak detail analisis resiko tidak ditunjukkan Berbasis pada generic & platform spesifik security requirements detailed protection measures dikonstruksi menggunakan building blocks yang diberikan List dari assembled security measures mungkin dapat digunakan untuk establish atau enhance baseline protection
BSI - Struktur
Ukuran IT security
7 area 34 modul (building blocks)
Safeguards Katalog
6 kategori pada ukuran security
Threats katalog
5 kategori pada threats
BSI - Kesimpulan
Utamanya digunakan : Security concepts & manuals Tidak ada deskripsi metodologi evaluasi Dikembangakn oleh German BSI (GISA) Update versi dirilis setiap tahun Lists 209 threats & 420 ukuran security 34 modul cover generic & platform spesifik security requirements
BSI - Kesimpulan
User friendly dengan sebanyak security details Tidak cocok untuk security resiko analysis Results of security coverage not shown in graphic form Manual in HTML format on BSI web server Manual in Winword format on CD-ROM (first CD free, additional CDs cost DM 50.-- each) Paper copy of manual: DM 118.-Software BSI Tool (only in German): DM 515.--
Rilis
ITSEC: 1991 ITSEM: 1993 (IT Security Evaluation Manual) UK IT Security Evaluation & Certification scheme: 1994
ITSEC - Methodology
Berdasar pada sistematik, documented approach untuk pengevaluasian security dari sistem-sistem dan produkproduk Open ended with regard to defined set of security objectives ITSEC Functionality classes; e.g. FC-C2 CC perlindungan profil Langkah-langkiah pengevaluasian: Pendefisian dari fungsionalitas Asuransi: Kepercayaan diri dalam fungsionalitas
ITSEC, CC - Summary
Digunakan secara utama untuk pengevaluasian security dan tidak untuk generalisasi IT audit Used primarily for security evaluations and not for generalized IT audits Pendefinisaian metodologi evaluasi Defines evaluation methodology Berdasar pada International Standard (ISO 15408) Based on International Standard (ISO 15408) Penyertifikasian skema dalam tempatnya Certification scheme in place Updated & enhanced on a yearly basis Includes extensible standard sets of security requirements (Protection Profile libraries)
Internal Audit
Terdiri dari metode-metode dan prosedurprosedur Mencegah, mendeteksi, mengoreksi : yang tidak sah, tidak diinginkan, kejadia yang tidak sewajarnya Mengukur dan mengevaluasi : - keefektifan internal kontrol - pencapaian tujuan organisasi - aktivitas dan efisiensi ekonomi Merekomendasikan solusi Melaporkan ke manajemen tingkat atas atau ke dewan direksi Menyajikan review periodik, yang disebut operational audit
External Audit
Memerlukan lebih banyak formalitas ketimbang internal audit Memberitahukan atau menginformasikan auditee paling tidak x bulan sebelum tanggal audit Menekankan pada kerjasama, keuntungan satu sama lain, kepentingan, hasil dan konsekuensi yang diinginkan
Notifikasi Audit
External audit membutuhkan lebih banyak formalitas daripada internal audit Notifikasi formal harus menyertakan : - tujuan dan ruang lingkup audit - tipe audit - waktu dan durasi audit - nama auditors Jika sudah selesai, checklist juga harus disertakan
Tujuan dan jangkauan dari audit akan mendefinisikan kebutuhan sekumpulan data Audit leader akan menentukan : - apa dan dimana data dikumpulkan - alat-alat kebutuhan untuk mengumpulkan data - bagaimana sampling akan diadakan
Model :
Checklist
Checklist: [1.1, 1.1.2, ...] Section: [Equipment security, Power Supplies, ...] Audit question: [ Whether the equipment is protected from power failures by using permanence of power supplies such as multiple feeds, uninterruptible power supply (UPS), backup generator etc., ] Result: Findings: ?? Compliance: ??