Framework Audit TI (COSO, FIPS, CMMI)


AUDIT TEKNOLOGI SISTEM INFORMASI

Framework Audit TI (COSO, FIPS, CMMI)





Disusun oleh:

Kelompok 7
Dyah Achwatiningrum   (12116227)
Justin Dewangga Putra   (13116796)
Rynalzevano Cornellis    (16116736)



SISTEM INFORMASI
UNIVERSITAS GUNADARMA
2019

1.      COSO
COSO (Committee of Sponsoring Organization of the Treadway Commission), sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate governance. Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan finansial
Pada awal tahun 90-an, Price waterhouse Couper bersama komite ini melakukan extensive study mengenai kontrol internal, yang menghasilkan COSO Framework yang digunakan untuk mengevaluasi efektifitas kontrol internal suatu perusahaan. Sejak itu, komunitas finansial global, termasuk badan-badan regulator seperti public accounting dan internal audit professions, telah mengadopsi COSO. Hal ini juga bernilai untuk perusahaan manapun yang ingin memastikan sistem kontrol internalnya dengan menggunakan standar internasional.
Kerangka kerja COSO terdiri atas 3 dimensi :
a.       Komponen kontrol COSO
COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal, yakni monitoring, information and communications, control activities, risk assessment, dan control environment.
b.      Sasaran kontrol internal. Sasaran kontrol internal dikategorikan menjadi beberapa area, yakni :
1.      Operations, efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga meliputi tujuan performansi dan keuntungan.
2.      Financial reporting, persiapan pelaporan anggaran finansial yang dapat dipercaya.
3.      Compliance, pemenuhan hukum dan aturan yang dapat dipercaya.
c.       Unit/aktifitas terhadap organisasi. Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan organisasi dan semua bagianbagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.


Kelebihan COSO
·         Pengendalian internal dapat membantu suatu entitas mencapai kinerja dan propabilitas target dan mencegah hilangnya sumber daya.
·         Dapat membantu memastikan pelaporan keuangan yang dapat diandalkan.
·         Dapat membantu memastikan bahwa perusahaan sesuai dengan peraturan perundang-undangan.
·         Menghindari kerusakan reputasi.
Kekurangan COSO
·         Terlalu memfokuskan kepada proses penyelarasan TI dengan strategi perusahaan.
·         Sangat fokus dalam hal desain dan implementasi TI, sehingga dalam hal pelayanan dari organisasi atau institusi dikesampingkan.
·         Framework COSO lebih mengutamakan kualitas bagian internal atau institusi daripada bagian pelayanannya.

2.      FIPS 200
FIPS (Federal Information Processing Standard) adalah sebuah framework yang pertama kali diterbitkan pada Maret 2006, dengan pengembang dan penerbit dari standar ini adalah organisasi bernama The National Institute of Standard and Technology (atau disingkat sebagai NIST). Framework ini dirancang sebagai framework audit teknologi informasi (TI) di lembaga-lembaga milik pemerintah Amerika Serikat, yang artinya adalah penerapan framework ini hanya dapat dilakukan di dalam wilayah Amerika Serikat itu sendiri.
Salah satu framework FIPS yang diterbitkan oleh NIST adalah FIPS Publication 200 (sering disebut sebagai FIPS PUB 200 atau FIPS 200 saja), dengan standar yang didefinisikan merupakan standar audit TI untuk kategori keamanan yang diaplikasikan dalam proses pengembangan, penerapan serta pengoperasian dari sistem TI yang aman. Cakupan dari FIPS 200 meliputi 17 area berikut ini:
1)    Kendali terhadap akses (Access Control)
2)    Kewaspadaan dan pelatihan (Awareness and Training)
3)    Audit dan akuntabilitas (Audit and Accountability)

4)    Sertifikasi, akreditasi dan penilaian keamanan (Certification, Accreditation and
        Security Assessments)
5)    Pengelolaan konfigurasi (Configuration Management)
6)    Perencanaan hal tak terprediksi (Contingency Planning)
7)    Identifikasi dan otentikasi (Identification and Authentication)
8)    Respon terhadap insiden (Incident Response)
9)    Perawatan (Maintenance)
10)  Perlindungan media (Media Protection)
11)  Perlindungan fisik dan lingkungan (Physical and Environmental Protection)
12)  Perencanaan (Planning)
13)  Keamanan personil (Personnel Security)
14)  Penilaian risiko (Risk Assessment)
15)  Akuisisi sistem dan pelayanan (Systems and Services Acquisition)
16)  Perlindungan sistem dan komunikasi (System and Communications Protection)
17)  Integritas sistem dan informasi (System and Information Integrity)
Meskipun begitu, FIPS 200 memberikan syarat bahwa semua lembaga yang ingin menerapkan standar ini harus mengacu kepada NIST Special Publication 800-53 (seringkali disebut sebagai NIST 800-53) sebagai kendali minimum yang wajib diterapkan dalam proses penerapan standar yang diberikan oleh FIPS 200. Ini dikarenakan NIST 800-53 memiliki fungsi sebagai standar dan panduan praktik keamanan dalam penerapan keamanan dunia siber yang bersesuaian dengan peraturan hukum. Ini menjadikan FIPS 200 (bersama dengan NIST 800-53) sebagai framework audit TI yang disarankan dalam dunia industri maupun lembaga pemerintahan di Amerika Serikat.

3.      CMMI
Capability Maturity Model Integration (CMMI) adalah model peningkatan proses yang bertujuan  membantu organisasi dalam meningkatkan kinerja. CMMI dapat menjadi acuan peningkatan proses bagi penyediaan produk dan layanan di tingkat proyek. CMMI terdiri atas kumpulan best practices yang menggambarkan karakteristik dari sebuah peningkatan proses yang efektif .CMMI pada awalnya dikenal sebagai Capability Maturity Model (CMM) yang dikembangkan oleh Software Enginnering Institute di Pittsburgh pada tahun 1987. Namun perkembangan selanjutnya CMM menjadi CMMI. CMMI mendukung proses penilaian secara bertingkat. Penilaiannya tersebut berdasarkan kuisioner dan dikembangkan secara khusus untuk perangkat lunak yang juga mendukung peningkatan proses. CMMI adalah suatu pendekatan perbaikan proses yang memberikan unsur-unsur penting proses efektif bagi organisasi. Praktik-praktik terbaik CMMI dipublikasikan dalam dokumen-dokumen yang disebut model, yang masing-masing ditujukan untuk berbagai bidang yang berbeda.

Maturity Level CMMI
Beberapa tahapan level yang ada pada CMMI adalah sebagai berikut :
1.      Maturity Level 1 – Initial
Secara umum, organisasi yang berada pada level 1 adalah organisasi yang belum menjalankan CMMI. Tidak terdapatnya proses yang standar dalam pengembangan IT, banyak perubahan yang bersifat ad-hoc (begitu terdapat defect, langsung di coba diperbaiki tanpa melihat penyebab utama secara menyeleruh) dan sangat sedikit kontrol. Organisasi semacam ini umumnya sangat tergantung terhadap orang, tidak tergantung kepada sistem.  Organisasi tidak menyediakan lingkungan yang stabil untuk mendukung proses. Sukses ditentukan oleh kompetensi orang-orang dalam organisasi. Walaupun  mampu menghasilkan produk atau layanan yang baik, namun proyek melebihi anggaran ataupun tenggat waktu yang dijanjikan. Sering kali pada level ini menemukan beberapa krisis seperti, kelebihan budget yang telah disusun dan juga tidak konsisten pada proyek yang lainnya.  Dan pada level ini memiliki beberapa ciri khas seperti berikut ini:
·         Tidak adanya manajemen proyek.
·         Tidak adanya quality assurance.
·         Tidak ada dokumentasi.
·         Sangat bergantung pada kemampuan individual.
2.      Maturity Level 2 – Managed
Pada level ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2. Semua pekerjaan yang berhubungan dengan dengan proses-proses yang terjadi saling menyesuaikan diri agar dapat diambil kebijakan. Setiap orang yang berada pada proses ini dapat mengakses sumber daya yang cukup untuk mengerjakan tugas masing-masing. Setiap orang terlibat aktif pada proses yang membutuhkan. Dan semua pekerjaan yang berhubungan dengan proses yang terjadi saling menyesuaikan diri agar dapat diambil kebijakannya. Dan fokus pada tahap ini adalah pada project management dan sudah bukan pada pengembangan pada sistem lagi. Dalam proses pengembangan sistem akan selalu diikuti dan akan berubah dari project ke project yang lainnya. Dan hasil dari pekerjaannya merupakan memonitor,meninjau serta memberikan evaluasi untuk menjaga konsistensi pada informasi yang telah diberikan. Dan repeatable ini memiliki ciri sebagai berikut:

·         Kualitas software mulai bergantung pada proses bukan pada sumber dayanya.
·         Ada manajemen proyek sederhana.
·         Ada quality assurance sederhana.
·         Ada dokumentasi sederhana.
·         Ada software configuration manajemen sederhana.
·         Tidak ada komitmen untuk selalu mengikuti SDLC dalam kondisi apapun.
·         Rentan terhadap perubahan struktur organisasi.

3.      Maturity Level 3 – Defined
Pada level ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2 dan Level 3. Proses dilihat dengan terjadinya penyesuaian dari kumpulan proses standar sebuah organisasi menurut pedoman-pedoman pada organisasi tersebut, menyokong hasil kerja, mengukur, dan proses menambah informasi lain menjadi milik organisasi.
Dari hasil penggunaan proses standard tadi maka akan menghasilkan hasil yang konsisten dan terdokumentasi dengan kualitas yang baik dan layak untuk dikirim. Proses ini sudah bersifat stabil dan terprediksi dan dapat diulang. Dan pada proses ini memiliki ciri sebagai berikut:
·         SDLC (System Development Life Cycle) sudah dibuat dan dibakukan.
·         Ada komitmen untuk mengikuti SDLC dalam keadaan apapun.
·         Kualitas proses dan produk masih sebatas hanya kira-kira saja.
·         Tidak menerapkan Activity Based Costing.

4.      Maturity Level 4 – Quantitatively Managed
Pada level ini sebuah organisasi telah mencapai seluruh specific dan generic goals yang ada pada Level 2, 3, dan 4. Proses yang terjadi dapat terkontrol dan ditambah menggunakan ukuran-ukuran dan taksiran kuantitatif. Sasaran kuantitatif untuk kualitas dan kinerja proses ditetapkan dam digunakan sebagai kriteria dalam manajemen proses. Perhitungan yang rinci dari standard proses pengembangan sistem dan kualitas produk secara rutin akan dikumpulkan dan di simpan dalam database. Terdapat suatu usaha untuk mengembangkan  individual project management yang didasari dari data data yang telah dikumpulkan. Pada level ini memiliki beberapa ciri sebagai berikut :
·         Sudah adanya Activity Based Costing dan digunakan untuk mengestimasikan untuk proyek berikutnya.
·         Proses penilaian kualitas perangkat lunak dan proyek bersifat kuantitatif.
·         Terjadi pemborosan biaya untuk pengumpulan data karena proses pengumpulan data masih dilaukan secara manual.
5.      Maturity Level 5 – Optimized
Pada level ini suatu organisasi telah mencapai seluruh specific dan generic goals yang ada di Level 2, 3, 4, dan 5. Proses ini merupakan level terakhir pada CMMI Maturity level dan pada proses ini pengembangan sistem yang telah distandardisasikan akan terus di monitor dan dikembangkan terus yang didasari perhitungan dan analisis data yang telah dibentuk pada level sebelumnya. Dan pada level ini perusahaan atau suatu organisasi telah mencapai seluruh tujuan yang ada pada level sebelumnya dan akan berfokus pada peningkatan proses dan juga merubah teknologi yang terbaik untuk digunakan dalam menunjukan aktivitas yang diperlukan dalam pembangungan maupun pengembangan sebuah sistem dan beberapa ciri dari level terakhir ini adalah sebagai berikut:
·         Pengumpulan data sudah dilakukan secara secara otomatis.
·         Adanya mekanisme feedback yang sangat baik.
·         Adanya peningkatan kualitas dari SDM dan peningkatan kualitas proses.

Daftar Pustaka

[1]  http://axelmaramis-unsrat.blogspot.com/2017/05/implementasi-framework-coso-
       internal.html

[2]  https://ivanhalim110.wordpress.com/2016/10/03/cmmi-capability-maturity-model-
       integration/

[3] http://mohammadfaisal17144.blogspot.com/2019/01/fips-200-isoiec-19770-1-dan-nist-800-
      14.html



Komentar

Posting Komentar

Postingan populer dari blog ini

TUGAS REVIEW JURNAL (WIRESHARK)

Gambar
REVIEW JURNAL AUDIT TEKNOLOGI SISTEM INFORMASI Wireshark Disusun oleh: Kelompok 7 Dyah Achwatiningrum    (12116227) Justin Dewangga Putra    (13116796) Rynalzevano Cornellis     (16116736) SISTEM INFORMASI UNIVERSITAS GUNADARMA 20 19 1.       Latar Belakang Seiring dengan berkembangnya zaman banyak perusahaan yang mengandalkan sistem informasi sebagai perndukung jalannya operasional perusahaan. Untuk mendukung pencapaian visi dan misi perusahaan, maka pengelolaan informasi sangat dibutuhkan untuk tercapainnya visi dan misi perushaan tersebut. Semakin berkembangnya teknologi informasi akan semakin banyak ancaman-ancaman yang akan terjadi dari dalam maupun luar perusahaan, misalnya pada pemrosesan komputer. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayai nya perhitungan matematis sampai kepada keterga...
Baca selengkapnya

PROFESI PADA BIDANG SI/TI DAN TREND SI/TI PADA SAAT INI

Gambar
BAB 3 Profesi SI / TI        A.   PENGERTIAN PROFESIONALISME & CIRI-CIRI NYA PENGERTIAN PROFESIONALISME Profesionalisme ( profésionalisme ) ialah sifat-sifat (kemampuan, kemahiran, cara pelaksanaan sesuatu dan lain-lain) sebagaimana yang sewajarnya terdapat pada atau dilakukan oleh seorang profesional. Profesionalisme berasal daripada profesion yang bermakna berhubungan dengan profesion dan memerlukan kepandaian khusus untuk menjalankannya, (KBBI, 1994). Jadi, profesionalisme adalah tingkah laku, kepakaran atau kualiti dari seseorang yang profesional (Longman, 1987). CIRI-CIRI PROFESIONALISME Seseorang yang memiliki jiwa profesionalisme senantiasa mendorong dirinya untuk mewujudkan kerja-kerja yang profesional. Kualiti profesionalisme didokong oleh ciri-ciri sebagai berikut: 1. Keinginan untuk selalu menampilkan perilaku yang mendekati piawai ideal. Seseorang yang memiliki profesionalisme tinggi akan selalu berusaha mewujudkan dirinya s...
Baca selengkapnya

TREND SI/TI MASA DEPAN DAN DALAM BIDANG BISNIS

Bab 5 Trend SI / TI Masa Depan A.     Ekonomi API ( Aplikasi Penghubunng Pemrograman ). API adalah sebuah bahasa dan format pesan yang digunakan oleh program aplikasi untuk berkomunikasi dengan system operasi atau program pengendalian lainnnya seperti system manajemen database ( DBMS ) atau komunikasi protocol. API diimplementasikan dengan menulis fungsi panggilan atau sintaks dalam program, yang menyediakan sarana yang diperlukan untuk meminta layanan program. Pada dasarnya, program API mendefinisikan cara yang tepat bagi developer untuk meminta layanan dari program itu. Sebagai contoh, Amazon.com merilis API sehingga pengembang situs web dapat lebih mudah mengakses informasi produk Amazon, menggunakan Amazon API, sebuah situs web pihak ketiga dapat memposting link langsung ke produk Amazon dengan harga yang terupdate dan pilihan untuk “ beli sekarang ”. Sebuah API adalah antarmuka software-to-software, bukan user interface. Dengan API, aplikasi berbicara ...
Baca selengkapnya

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) & STRATEGI LAYANAN ITSM

Gambar
ITIL (IT Infrastruktur Library)                  ITIL adalah suatu rangkaian dengan konsep infrastruktur, pengembangan, serta operasi teknologi informasi. ITIL sebenarnya adalah suatu rangkaian rangkuman dari beberapa buku yang membahas tentang pengelolaan (TI). ITIL memberikan beberapa praktik TI penting seperti daftar cek, tugas, serta beberapa prosedur yang disesuaikan dengan segala jenis organisasi(TI).                    ITIL sudah dikembangkan sejak 1980-an dengan ITIL 1.0.Kemudian dengan beriringnya waktu  peningkatan pelayanan yang berkesinambungan dan adaptasi terhadap situasi saat ini dalam lingkungan (TI) modern ITIL 1.0 di rilis besar dan dijadikan ITIL 2.0 yang paling dikenal dengan set bukunya yang berhubungan dengan ITSM (IT service management) & service support(dukungan layanan). Pada...
Baca selengkapnya

DESAIN & TRANSISI LAYANAN

DESAIN DAN TRANSISI LAYANAN A. Desain Layanan. Pengantar Apa yang kalian ketahui mengenai desain layanan? Ya, Desain layanan adalah bentuk desain konseptual yang melibatkan aktivitas perencanaan dan pengorganisasian manusia, infrastruktur, komunikasi dan komponen material layanan dalam rangka meningkatkan kualitas dan interaksi antara penyedia layanan dan pelanggan. Begitu organisasi telah menentukan strategi TI yang ingin dicapai, ia akan menggunakan fase desain layanan dari siklus hidup untuk menciptakan layanan baru yang transisi layanan kemudian masuk ke lingkungan hidup. Dengan demikian, desain layanan bertujuan untuk ambil langkah-langkah yang diperlukan untuk memastikan bahwa layanan baru akan berjalan sesuai rencana dan memberikan fungsionalitas dan manfaat yang dimaksudkan oleh bisnis. Prinsip ini adalah jantung dari pendekatan ITIL dan mengapa sebagian besar desain layanan proses difokuskan pada pengendalian operasional: Manajemen katalog layanan Manajemen ...
Baca selengkapnya

OPERASI LAYANAN & PENGELOLAAN LAYANAN BISNIS

OPERASI LAYANAN & PENGELOLAAN LAYANAN BISNIS I.  Operasi Layanan 1. Pengantar      Operasi layanan merupakan sebuah fase siklus hidup manajemen layanan Teknologi Informasi yang bertanggung jawab untuk kegiatan bisnis seperti biasa. Jika layanan tidak dimanfaatkan atau tidak disampaikan secara efisien dan efektif, maka tidak akan memberikan nilai penuh, terlepas dari seberapa baik layanan dirancang. Ini merupakan operasi layanan yang bertanggung jawab untuk memanfaatkan proses untuk memberikan layanan kepada pengguna dan pelanggan.    Operasi layanan merupakan nilai yang telah dimodelkan dalam strategi layanan dan dikonfirmasi melalui perancangan layanan dan transisi layanan benar-benar disampaikan. Tanpa operasi layanan yang menjalankan layanan seperti yang dirancang dan memanfaatkan proses yang dirancang, tidak akan ada kontrol dan pengelolaan layanan. Produksi metrik yang berarti oleh operasi layanan akan membentuk dasar dan titik awal unt...
Baca selengkapnya

TUGAS SISTEM KEAMANAN TEKNOLOGI INFORMASI 3

Gambar
TUGAS RANGKUMAN 3 SISTEM KEAMANAN TEKNOLOGI INFORMASI NAMA       : JUSTIN DEWANGGA PUTRA NPM           : 13116796 KELAS       : 4KA22 DOSEN      : Kurniawan B. Prianto, S.Kom., SH, MM FAKULTAS ILMU KOMPUTER & TEKNOLOGI INFORMASI S1 – SISTEM INFORMASI UNIVERSITAS GUNADARMA 2019 KRIPTOGRAFI, ENKRIPSI, & DEKRIPSI          Kriptografi ( cryptography ) merupakan ilmu dan seni untuk menjaga pesan agar aman. “ Crypto ” berarti “ secret ” (rahasia) dan “ graphy ” berarti “ writing ” (tulisan). Para pelaku atau praktisi kriptografi disebut cryptographers . Sebuah algoritma kriptografik ( cryptographic algorithm ) disebut cipher merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi.       ...
Baca selengkapnya