Chapter XI : Audit Keamanan Informasi
- Kamis, Juli 16, 2020
- By Yahya Muhaimin
- 0 Comments
Audit
atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi,
sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten,
objektif, dan tidak memihak yang disebut auditor. Tujuan diadakannya audit
adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan
atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui
dan diterima.
cr : miro.medium.com
.
Dalam
dunia IT terlebih keamanan Informasi, pengertiannya adalah penilaian atau evaluasi teknis yang
sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Tujuan utama
dari penyusunan panduan audit keamanan informasi adalah memberikan panduan pengelolaan,menyediakan
manajemen,dan khususnya bagi petugas keamanan TI (Teknologi Informasi) sebagai
pihak yang mendukung implementasi dan optimasi keamanan informasi. Audit Keamanan
Informasi dimaksudkan untuk meningkatkan tingkat/level keamanan
informasi,mencegah rancangan keamanan informasi yang tidak layak, dan
mengoptimalkan efisiensi benteng keamanan, dan proses keamanan informasi itu
sendiri. Audit ini akan memastikan atau menjamin berjalannya proses
operasional, reputasi dan aset suatu organisasi.
.
7 faktor keamanan Informasi
•
Pendekatan sistematik atas keamanan TI
•
Keamanan sistem TI
•
Jaringan dan koneksi internet
•
Faktor manusia
•
Perawatan sistem TI : penanganan atas update yang
relevan dengan keamanan
•
Penggunaan mekanisme keamanan: penanganan password
dan eksripsi
•
Perlindungan atas bencana dan kerusakan oleh
elemen-elemen
.
Standar Sistem manajemen Keamanan Informasi
Sejak tahun 2005, international organization for
standardization(iso) atau organisasi internasional untuk standarisasi telah
mengembangkan sejumlah standar tentang information security management systems
(isms) atau sistem manajemen keamanan informasi (smki) baik dalam bentuk
persyaratan maupun panduan. Standar smki ini dikelompokkan sebagai keluarga
atau seri iso 27000 yang terdiri dari:
•
ISO/IEC 27000:2009 – isms overview and vocabulary
•
ISO/IEC 27001:2005 – isms requirements
•
ISO/IEC 27002:2005– code of practice for isms
•
ISO/IEC 27003:2010 – isms implementation guidance
•
ISO/IEC 27004:2009 – isms measurements
•
ISO/IEC 27005:2008 – information security risk
management
•
ISO/IEC 27006: 2007 – isms certification body
requirements
•
ISO/IEC 27007 – guidelines for isms auditing dari
standar seri ISO 27000 ini, hingga september 2011, baru ISO/IEC 27001:2005 yang
telah diadopsi badan standarisasi nasional
.
Kapan dilakukan Audit Keamanan Informasi
Namun sebelum dilakukan audit, perlu memperhatikan beberapa
hal berikut ini :
•
Saat dan frekuensi audit
Audit keamanan harus dilaksanakan secara periodik, untuk memastikan
kesesuaian pada kebijakan, pedoman dan prosedur untuk mengurangi resiko yang
akan diterima.
Terdapat situasi yang berbeda ketika harus melakukan audit keamanan.
Waktu yang pasti tergantung kebutuhan dan sumber daya sistem yang dimiliki.
- instalasi baru = Audit yang dilakukan pertama kali setelah implementasi, dalam rangka memastikan konformasi pada kebijakkan dan petunjuk yang ada serta memenuhi bakuan konfigurasi
- audit regular = Audit ini adalah audit yang dilakukan secara periodik baik manual maupun otomatis dengan menggunakan perangkat dalam rangka mendeteksi lubang (loopholes) atau kelemahan, yang paling tidak dilakukan sekali dalam setahun
- audit acak = audit ini dilakukan dengan melakukan pemeriksaan acak dalam rangka merefleksikan dengan praktik sesungguhnya
- audit di luar jam kerja = audit ini dilakukan untuk mereduksi resiko pengauditan dengan melakukannya di luar jam kerja, biasanya pada malam hari.
•
Perangkat audit
Ada banyak perangkat audit yang dapat digunakan untuk mencari kelemahan
keamanan informasi. pemiliha perangkat tergantung berdasarkan keamanan dan
dampak yang akan ditimbulkan.
•
Langkah-langkah Audit
Secara umum, tahapan audit dibagi menjadi bagian berikut ini:
1. Perencanaan
2. Pengumpulan data audit
3. Pengujian audit
4. Pelaporan hasil audit
5. Perlindungan atas data dan perangkat audit
6. Penambahan dan tindak lanjut
.
Teknik Audit IS
Teknik audit dipahami sebagai metode yang digunakan
untuk menentukan fakta dari permasalahan. Berikut adalah beberapa teknik audit
yang dapat digunakan selama audit IS:
•
Wawancara (pertanyaan verbal)
•
Inspeksi visual suatu sistem, lokasi, ruang, kamar,
dan objek
•
Observasi
•
Analisis file/berkas (termasuk data elektronik)
•
Pemeriksaan teknis (misal menguji sistem alarm,
sistem control akses, aplikasi)
•
Analisis data (misal log files, evaluasi database,
dll)
•
Pertanyaan tertulis (misal, kuesioner).
.
Ciiaaoooo
0 komentar