Scribd Logo
Upload

Welcome to Scribd!

  • Metodologi Audit

    Uploaded by

    Bagus Apri Susandi
    18 views47 pages

    Original Title

    12. Metodologi Audit

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    18 views47 pages

    Metodologi Audit

    Uploaded by

    Bagus Apri Susandi

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 47

    IT Audit Methodologies

    IT Audit Methodologies

    Metodologi IT Audit
    audit subject menentukan apa yang akan di audit audit objective menentukan tujuan dari audit audit scope menentukan system, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit preaudit planning : mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit. audit procedures dan steps for data gathering menentukan cara malakukan audit untuk memeriksa dan menguji kontrol, menentukan siapa yang akan diwawancarai. evaluasi hasil pengujian dan pemeriksaan spesifik pada tiap organisasi. prosedur komunikasi dengan pihak manajemen : spesifik pada tiap organisasi audir report preparation (menentukan bagaimana cara mereview hasil audit) : evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.

    Metodologi IT Audit
    Computer Assisted Audit Techniques (CAATs) CobiT International Organization for Standardization (ISO) BS 7799 - Code of Practice (CoP) BSI - IT Baseline Protection Manual ITSEC Common Criteria (CC)

    Computer Assisted Audit Techniques (CAATs)

    Menggunakan komputer sebagai audit tool Termasuk beberapa tipe tool dan teknik seperti : audit software, data analysis application, test data, software tracing Contohnya : ACL, IDEA, Monarch, dll

    Control Objectives for IT (CobiT)


    Control objectives untuk IT Dikembangkan oleh Information System Audit dan Control Association (ISACA) International open standard Digunakan oleh lebih dari 30,000 auditorsGovernance, Kontrol & Audit untuk IT Developed by ISACA Rilis
    CobiT 1: 1996
    32 Processes 271 Control Objectives

    CobiT 2: 1998
    34 Processes 302 Control Objectives

    CobiT - Model untuk IT Governance

    36 Control models digunakan sebagai basis:


    Business control models (e.g. COSO) IT control models (e.g. DTIs CoP)

    CobiT control model melingkupi:


    Security (Confidentiality, Integrity, Availability) Fiduciary (Effectiveness, Efficiency, Compliance, Reliability dari Informasi) IT Resources (Data, System Aplikasi , Teknologi, Fasilitas, Manusia)

    CobiT - Framework

    CobiT - Struktur
    4 Domains
    PO - Perencanaan & Organisasi (Planning and Organization)
    11 proses (high-level control objectives)

    AI - Acquisition & Implementasi


    6 proses (high-level control objectives)

    DS - Delivery & Support


    13 proses (high-level control objectives)

    M - Monitoring
    4 proses (high-level control objectives)

    CobiT - IT Process Matrix


    Kriteria Information
    Effectiveness Efficiency Confidentiality Integritas Availability Compliance Reliability

    Sumber Daya IT Manusia Aplikasi Teknologi Fasilitas Data

    Proses IT
    Microsoft Excel-Tabelle

    CobiT - Kesimpulan
    Utamanya digunakan untuk IT audits, security aspects Tidak ada detail evaluasi mengenai deskripsi metodologi Dikembangkan oleh organisasi internasional (ISACA) Up-to-date: Versi 2 dirilis pada 1998 Hanya mendeskripsikan tujuan high-level control Detail tentang ukuran IT control tidak didokumentasikan Tidak user friendly - learning curve! Hasil evaluasi tidak ditunjukkan pada bentuk grafik

    CobiT - Kesimpulan
    Mungkin digunakan untuk self assessments Useful aid dalam implementasi Sistem IT control Tidak cocok basis ke write security handbook CobiT package dari ISACA: $ 100.-3 bagian didownload gratis dari site ISACA Software available dari Methodware Ltd., NZ (www.methodware.co.nz) CobiT Advisor 2nd edition: US$ 600.--

    International Organization for Standardization (ISO)


    ISO 9001 : 2000 Quality management systems ISO 17799 Information Security Management Standard

    Definisi Security
    Confidentialitas Integritas
    Correctness (Pembetulan) Completeness (Pelengkap)

    Availabilitas

    PO - Planning and Organisation


    PO 1 Mendefinisikan sebuah rencana Strategis IT PO 2 Mendefinisikan Arsitektur Informasi PO 3 Mendeterminasikan Technological Direction PO 4 Mendefinisikan Organisasi IT dan Relationship PO 5 Memanage IT Investment PO 6 Mengkomunikasikan Tujuan Management dan Direction PO 7 Memanage SDM PO 8 Meyakinkan Compliance dengan

    AI - Acquisition dan Implementasi


    AI 1 Mengidentifikasi Solusi AI 2 Acquire dan Maintain Software Aplikasi AI 3 Acquire dan Maintain Arsitektur Teknologi AI 4 Develop dan Maintain Prosedur IT AI 5 Menginstall dan Accredit Systems AI 6 Memanage Perubahan

    DS - Delivery dan Support


    DS 1 Mendefinisikan Level Service DS 2 Memanage Third-Party Service DS 3 Memanage Performance dan Kapasitas DS 4 Meyakinkan Continuous Service DS 5 Meyakinkan Sistem Security DS 6 Mengidentifikasikan dan Biaya Attribute DS 7 Edukasi dan Train Users DS 8 Assist dan Advise IT Customers DS 9 Memanage Konfigurasi DS 10 Memanage Problem dan Incident DS 11 Memanage Data DS 12 Memanage Fasilitas DS 13 Memanage Operation

    M - Monitoring
    M1 M2 M3 M4 Memonitor Processes Assess Internal Control Adequacy Obtain Independent Assurance Menyetujui Independent Audit

    BS 7799 - CoP
    Code of Practice untuk Inform. Security Manag. Dikembangkan oleh UK DTI, BSI: British Standard Rilis
    CoP: 1993 BS 7799: Bagian 1: 1995 BS 7799: Bagian 2: 1998
    Sertifikasi & Akreditasi scheme (c:cure)

    BS 7799 - Kategori Control


    Information security policy Security organisation Assets classification & control Personnel security Physical & environmental security Computer & network management

    BS 7799 - Kategori Control


    System access control Systems development & maintenance Business continuity planning Compliance

    BS7799 - 10 Key Controls


    Dokumen informasi security policy Alokasi dari tanggung jawab informasi security Information security edukasi dan training Report dari security incident Virus control

    BS7799 - 10 Key Controls


    Proses perencanaan lanjutan bisnis Control dari proprietary software copying Safeguarding dari organizational records Proteksi Data Compliance dengan security policy

    BS7799 - Kesimpulan
    Penggunaan utama : Security Konsep & Health Checks Tidak ada detail evaluasi mengenai deskripsi metodologi British Standard, dikembangkan oleh UK DTI Sertifikasi scheme in place (c:cure) BS7799, Part1, 1995 telah direvisi pada 1999 Lists 109 siap-untuk-menggunakan security controls Tidak ada detail ukuran security yang dideskripsikan Sangat user friendly mudah untuk belajar

    BS7799 - Kesimpulan
    Hasil evaluasi tidak ditunjukkan pada bentuk grafik Mungkin digunakan untuk self assessments BS7799, Bagian1: 94.-BS7799, Bagian2: 36.-BSI Electronic book dari Bagian 1: 190.-- + VAT Several BS7799 c:cure publikasi dari BSI CoP-iT software dari SMH, UK: 349+VAT (www.smhplc.com)

    BSI (Bundesamt fr Sicherheit in der Informationstechnik)


    IT Baseline Protection Manual (IT- Grundschutzhandbuch ) Dikembangkan oleh German BSI (GISA: German Information Security Agency) Rilis:
    IT security manual: 1992 IT baseline protection manual: 1995 Versi baru (paper dan CD-ROM): setiap tahun

    BSI - Approach
    Digunakan untuk mendeterminasikan ukuran IT security untuk kebutuhan medium-level protection Straight forward approach sejak detail analisis resiko tidak ditunjukkan Berbasis pada generic & platform spesifik security requirements detailed protection measures dikonstruksi menggunakan building blocks yang diberikan List dari assembled security measures mungkin dapat digunakan untuk establish atau enhance baseline protection

    BSI - Struktur
    Ukuran IT security
    7 area 34 modul (building blocks)

    Safeguards Katalog
    6 kategori pada ukuran security

    Threats katalog
    5 kategori pada threats

    BSI - Kesimpulan
    Utamanya digunakan : Security concepts & manuals Tidak ada deskripsi metodologi evaluasi Dikembangakn oleh German BSI (GISA) Update versi dirilis setiap tahun Lists 209 threats & 420 ukuran security 34 modul cover generic & platform spesifik security requirements

    BSI - Kesimpulan
    User friendly dengan sebanyak security details Tidak cocok untuk security resiko analysis Results of security coverage not shown in graphic form Manual in HTML format on BSI web server Manual in Winword format on CD-ROM (first CD free, additional CDs cost DM 50.-- each) Paper copy of manual: DM 118.-Software BSI Tool (only in German): DM 515.--

    ITSEC, Common Criteria


    ITSEC: Kriteria Pengevaluasian security IT Developed by UK, Germany, France, Netherl. and based primarily on USA TCSEC
    (Orange Book)

    Rilis
    ITSEC: 1991 ITSEM: 1993 (IT Security Evaluation Manual) UK IT Security Evaluation & Certification scheme: 1994

    ITSEC, Common Criteria


    Common Criteria (CC) Developed by USA, EC: berdasar pada ITSEC ISO Standar Internasional Releases
    CC 1.0: 1996 CC 2.0: 1998 ISO IS 15408: 1999

    ITSEC - Methodology
    Berdasar pada sistematik, documented approach untuk pengevaluasian security dari sistem-sistem dan produkproduk Open ended with regard to defined set of security objectives ITSEC Functionality classes; e.g. FC-C2 CC perlindungan profil Langkah-langkiah pengevaluasian: Pendefisian dari fungsionalitas Asuransi: Kepercayaan diri dalam fungsionalitas

    ITSEC, CC - Summary
    Digunakan secara utama untuk pengevaluasian security dan tidak untuk generalisasi IT audit Used primarily for security evaluations and not for generalized IT audits Pendefinisaian metodologi evaluasi Defines evaluation methodology Berdasar pada International Standard (ISO 15408) Based on International Standard (ISO 15408) Penyertifikasian skema dalam tempatnya Certification scheme in place Updated & enhanced on a yearly basis Includes extensible standard sets of security requirements (Protection Profile libraries)

    Comparison of Methods - Criteria


    Standardisasi Independensi Certifiabilitas Pengaplikasian dalam latihan Adaptabilitas (Kemampuan Adaptasi)

    Comparison of Methods - Criteria


    Extent of Scope Hasil dari Presentasi Efisiensi Update frequency Ease of Use

    Kegunaan dari Metode-metode untuk IT Audits


    CobiT: Metode audit untuk semua proses IT ITSEC, CC: Systematic approach untuk evaluasi BS7799, BSI: Daftar dari penjelasan detail tentang pengukuran security untuk dapat digunakan sebagai dokumentasi terbaik dari latihan Rencana audit secara detail, checklist, alat-alat untuk technical audit (Sistem Operasi, Jaringan LAN, dan lain-lain) Yang dibutuhkan sebagai tambahan : Konsep audit (aspek umum, infrastructure audits, application audits)

    Internal Audit
    Terdiri dari metode-metode dan prosedurprosedur Mencegah, mendeteksi, mengoreksi : yang tidak sah, tidak diinginkan, kejadia yang tidak sewajarnya Mengukur dan mengevaluasi : - keefektifan internal kontrol - pencapaian tujuan organisasi - aktivitas dan efisiensi ekonomi Merekomendasikan solusi Melaporkan ke manajemen tingkat atas atau ke dewan direksi Menyajikan review periodik, yang disebut operational audit

    External Audit
    Memerlukan lebih banyak formalitas ketimbang internal audit Memberitahukan atau menginformasikan auditee paling tidak x bulan sebelum tanggal audit Menekankan pada kerjasama, keuntungan satu sama lain, kepentingan, hasil dan konsekuensi yang diinginkan

    Perbedaan antara internal audit dan external audit


    Internal audit : - mengontrol lebih komprehensif serta pada level periodik yang lebih detail - merekomendasikan solusi External audit : - mengontrol pada level tinggi secara tahunan - tidak merekomendasikan solusi

    Notifikasi Audit
    External audit membutuhkan lebih banyak formalitas daripada internal audit Notifikasi formal harus menyertakan : - tujuan dan ruang lingkup audit - tipe audit - waktu dan durasi audit - nama auditors Jika sudah selesai, checklist juga harus disertakan

    Keuntungan notifikasi audit


    Memberikan auditee kesempatan : - untuk menggabungkan dokumentasi - untuk membiasakan diri/mengenalkan dengan scoring guidelines - untuk memfasilitasi presentasi yang mendukung data selama audit

    Rencana Audit dan Persiapan Typical audit systems

    Tujuan dan jangkauan dari audit akan mendefinisikan kebutuhan sekumpulan data Audit leader akan menentukan : - apa dan dimana data dikumpulkan - alat-alat kebutuhan untuk mengumpulkan data - bagaimana sampling akan diadakan

    Maksud, jangkauan, dan tujuan

    Model :

    Mengembangkan Audit checklist Checklist Dev.Model

    Checklist

    Checklist: [1.1, 1.1.2, ...] Section: [Equipment security, Power Supplies, ...] Audit question: [ Whether the equipment is protected from power failures by using permanence of power supplies such as multiple feeds, uninterruptible power supply (UPS), backup generator etc., ] Result: Findings: ?? Compliance: ??

    Demikian dari Kelompok 12 & Terima Kasih atas perhatiannya

    You might also like