Keamanan Informasi

Chapter XI : Audit Keamanan Informasi

  • Kamis, Juli 16, 2020
  • By Yahya Muhaimin
  • 0 Comments


Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak yang disebut auditor. Tujuan diadakannya audit adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima.
cr : miro.medium.com

.

Dalam dunia IT terlebih keamanan Informasi, pengertiannya adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Tujuan utama dari penyusunan panduan audit keamanan informasi adalah memberikan panduan pengelolaan,menyediakan manajemen,dan khususnya bagi petugas keamanan TI (Teknologi Informasi) sebagai pihak yang mendukung implementasi dan optimasi keamanan informasi. Audit Keamanan Informasi dimaksudkan untuk meningkatkan tingkat/level keamanan informasi,mencegah rancangan keamanan informasi yang tidak layak, dan mengoptimalkan efisiensi benteng keamanan, dan proses keamanan informasi itu sendiri. Audit ini akan memastikan atau menjamin berjalannya proses operasional, reputasi dan aset suatu organisasi.
.

7 faktor keamanan Informasi

          Pendekatan sistematik atas keamanan TI
          Keamanan sistem TI
          Jaringan dan koneksi internet
          Faktor manusia
          Perawatan sistem TI : penanganan atas update yang relevan dengan keamanan
          Penggunaan mekanisme keamanan: penanganan password dan eksripsi
          Perlindungan atas bencana dan kerusakan oleh elemen-elemen
.

Standar Sistem manajemen Keamanan Informasi

Sejak tahun 2005, international organization for standardization(iso) atau organisasi internasional untuk standarisasi telah mengembangkan sejumlah standar tentang information security management systems (isms) atau sistem manajemen keamanan informasi (smki) baik dalam bentuk persyaratan maupun panduan. Standar smki ini dikelompokkan sebagai keluarga atau seri iso 27000 yang terdiri dari:
          ISO/IEC 27000:2009 – isms overview and vocabulary
          ISO/IEC 27001:2005 – isms requirements
          ISO/IEC 27002:2005– code of practice for isms
          ISO/IEC 27003:2010 – isms implementation guidance
          ISO/IEC 27004:2009 – isms measurements
          ISO/IEC 27005:2008 – information security risk management
          ISO/IEC 27006: 2007 – isms certification body requirements
          ISO/IEC 27007 – guidelines for isms auditing dari standar seri ISO 27000 ini, hingga september 2011, baru ISO/IEC 27001:2005 yang telah diadopsi badan standarisasi nasional
.

Kapan dilakukan Audit Keamanan Informasi

Namun sebelum dilakukan audit, perlu memperhatikan beberapa hal berikut ini :
          Saat dan frekuensi audit
Audit keamanan harus dilaksanakan secara periodik, untuk memastikan kesesuaian pada kebijakan, pedoman dan prosedur untuk mengurangi resiko yang akan diterima.
Terdapat situasi yang berbeda ketika harus melakukan audit keamanan. Waktu yang pasti tergantung kebutuhan dan sumber daya sistem yang dimiliki.
  1. instalasi baru = Audit yang dilakukan pertama kali setelah implementasi, dalam rangka memastikan konformasi pada kebijakkan dan petunjuk yang ada serta memenuhi bakuan konfigurasi
  2. audit regular = Audit ini adalah audit yang dilakukan secara periodik baik manual maupun otomatis dengan menggunakan perangkat dalam rangka mendeteksi lubang (loopholes) atau kelemahan, yang paling tidak dilakukan sekali dalam setahun
  3. audit acak = audit ini dilakukan dengan melakukan pemeriksaan acak dalam rangka merefleksikan dengan praktik sesungguhnya
  4. audit di luar jam kerja = audit ini dilakukan untuk mereduksi resiko pengauditan dengan melakukannya di luar jam kerja, biasanya pada malam hari.  
          Perangkat audit
Ada banyak perangkat audit yang dapat digunakan untuk mencari kelemahan keamanan informasi. pemiliha perangkat tergantung berdasarkan keamanan dan dampak yang akan ditimbulkan.
          Langkah-langkah Audit
Secara umum, tahapan audit dibagi menjadi bagian berikut ini:
1. Perencanaan
2. Pengumpulan data audit
3. Pengujian audit
4. Pelaporan hasil audit
5. Perlindungan atas data dan perangkat audit
6. Penambahan dan tindak lanjut
.

Teknik Audit IS

Teknik audit dipahami sebagai metode yang digunakan untuk menentukan fakta dari permasalahan. Berikut adalah beberapa teknik audit yang dapat digunakan selama audit IS:  
          Wawancara (pertanyaan verbal)
          Inspeksi visual suatu sistem, lokasi, ruang, kamar, dan objek
          Observasi
          Analisis file/berkas (termasuk data elektronik)
          Pemeriksaan teknis (misal menguji sistem alarm, sistem control akses, aplikasi)
          Analisis data (misal log files, evaluasi database, dll)
          Pertanyaan tertulis (misal, kuesioner).
.
Ciiaaoooo

  • #
  • #

    • Share This

    You Might Also Like

    0 komentar

    Follow me
    Socialize!