BAB 13 AUDIT Pendahuluan AUDIT TEKNOLOGI INFORMASI

PENDAHULUAN Dalam bab ini, kami mempertimbangkan audit teknologi informasi (TI) kegiatan. Bab ini tidak dimaksudkan untuk menjadi panduan teknis untuk komputer atau IT auditor, melainkan pendekatan kegiatan IT dari sudut pandang bisnis dan operasional. Sebelum pemeriksaan, dalam beberapa detail, berbagai kegiatan TI, kita membuka bab ini dengan pembahasan masalah keamanan TI fundamental sebagaimana yang termaktub dalam Kode Praktek Manajemen Keamanan Informasi diterbitkan sebagai BS7799 pada tahun 1995 oleh British Standards Institute.

Pendahuluan ATAS Standar Internasional Untuk Manajemen Keamanan Informasi Empat dari lima organisasi Inggris mengalami kerusakan di sistem teknologi informasi mereka pada tahun 1993 dan 1994, menurut survei yang disponsori pemerintah Inggris, disponsori bersama oleh perusahaan ICL TI. Survei dari 850 organisasi diperkirakan bahwa biaya tahunan seperti insiden 1200000000 - peningkatan 12% pada survei serupa dua tahun sebelumnya. Hanya satu dari tujuh perusahaan memiliki fungsi TI keamanan khusus dan hanya 43% menggunakan teknik analisis risiko formal. Sebuah kemajuan penting terbaru dalam developmnet standar untuk keamanan informasi adalah pengembangan di Inggris pada tahun 1993 dari Kode Praktek Manajemen Keamanan Informasi. Ini ditulis oleh Departemen Perdagangan dan Industri, bersama dengan organisasi-organisasi pengguna blue-chip. Tubuh berpartisipasi berangkat untuk setuju dan menetapkan serangkaian standar industri yang ditarik dari perusahaan terkemuka praktik terbaik, bagi setiap organisasi untuk bekerja, untuk memastikan kepatuhan dengan tindakan pengamanan awal (disebut demikian karena mereka secara kolektif mendefinisikan industri dasar keamanan yang baik praktek). Kode ini sejak saat itu telah diterbitkan oleh British Standards Institute (BSI) sebagai BS7799 (1995). Hal ini dimaksudkan untuk membentuk dasar untuk pengembangan, implementasi dan pengukuran manajemen keamanan informasi. Sebuah Tujuan kedua adalah untuk memberikan keyakinan bahwa data aman dalam kegiatan perdagangan antar-perusahaan elektronik. BSI telah berencana untuk memperkenalkan skema akreditasi dan sertifikasi untuk BS7799 mirip dengan yang relevan dengan kualitas dan standar BS5750 ISO9000 International Standards Organisation.

Kami fokus pada Kode Etik ini sebagai nampaknya akan menjadi dasar bagi pengembangan kode (a) di negara-negara bangsa lain, (b) di tingkat Uni Eropa, dan (c) internasional. Dalam Standar Inggris masa lalu telah menjadi dasar bagi standar internasional misalnya Standar Inggris pada sistem kualitas menjadi dasar untuk seri standar ISO9000.

Sekilas BS7799 BS7799 Kode ini menyediakan panduan dan rekomendasi untuk manajemen informasi keamanan melalui tiga komponen dasar: Confidentility - melindungi informasi sensitif dari pengungkapan yang tidak sah. Integritas - menjaga akurasi dan completenessn informasi. Ketersediaan - memastikan bahwa informasi dan layanan penting tersedia bagi pengguna.

Arti "Integritas" Pemahaman penting berikut ke dalam makna integritas diberikan oleh Melville dan Daftar yang mendefinisikan integritas sebagai kondisi ketika: Informasi cukup tepat pada saat digunakan untuk tujuan yang keinginan pengguna untuk menempatkan output. definisi mereka memiliki kebaikan yang meliputi seluruh sistem - prosedur administrasi, IT prosedur, dan semua proses komputer. Dan mereka pergi dengan mengatakan: "Cukup benar" dapat ditetapkan tepatnya di specificmcircumstances - bahkan ketika pengguna "" mungkin adalah bagian dari sistem informasi. Sama "cukup hak" mencakup kemungkinan bahwa seseorang mungkin hakim kebenaran dalam terang pengalaman dan faktor eksternal dari sistem informasi yang sama sekali tidak menyadari. "Pada saat menggunakan" adalah penting dalam pengolahan definiton karena semua adalah waktu untuk bergantung dan waktu penggunaan menetapkan waktu untuk kebutuhan informasi. "Untuk itu" adalah dimasukkan karena persyaratan akurasi informasi yang diperoleh dari data yang sama bervariasi secara luas dari perbedaan minimal yang diperlukan, misalnya dalam melaporkan laporan keuangan, kembali pemerintah dan proyeksi bisnis masa depan. "Output" bisa dalam bentuk apapun. Dalam sistem komersial saat ini biasanya hasil cetak atau layar tampilan; dalam sistem lain mungkin LED layar atau proyeksi virtual reality. Sebagai teknologi berkembang, output akan termasuk suara dan presentasi multimedia. Mana

output dari sebuah sistem secara otomatis masukan dalam sistem lain, eksternal atau internal, maka kriteria yang merupakan "cukup benar" pada titik transfer akan perlu spesifik secara rinci.

Bagian dan Kontrol dalam BS7799 BS7799 memiliki sepuluh bagian dan setiap bagian sejumlah kontrol yang direkomendasikan. Mengambil semua sepuluh bagian bersama, ada 108 kontrol spesifik yang BS7799 menetapkan bahwa sepuluh adalah kunci atau wajib kontrol. Kebanyakan dari mereka mungkin tampak akal sehat, tetapi mereka sering berbahaya diabaikan dalam praktek oleh banyak perusahaan. 108 kontrol tertentu dikelompokkan dalam 33 tingkat yang lebih tinggi, kontrol yang lebih umum - yang kemudian dikelompokkan ke dalam sepuluh bagian. Kontrol wajib diambil dari enam dari sepuluh bagian BS7799. Bagian dalam BS7799 adalah: Bagian 1 Bagian 2 Bagian 3 Bagian 4 Bagian 5 Bagian 6 Bagian 7 Bagian 8 Bagian 9 Bagian 10 Kebijakan Keamanan Keamanan Organisasi Aktiva Klasifikasi dan Pengendalian Personil Keamanan Keamanan Fisik dan Lingkungan Manajemen Jaringan dan Komputer Sistem Access Control Pengembangan dan Pemeliharaan Sistem Perencanaan Kesinambungan Bisnis Kepatuhan

Wajib Kontrol Controls Wajib di BS7799 berhubungan dengan berikut ini. Harus ada: 1.An dokumen kebijakan keamanan informasi 2.Allocation tanggung jawab keamanan informasi 3.Information keamanan pendidikan dan pelatihan 4.Reporting insiden keamanan 5.Virus kontrol

6.Business kelangsungan proses perencanaan 7.Control menyalin perangkat lunak berpemilik 8.Safeguarding catatan organisasi 9.Compliance dengan undang-undang perlindungan data 10.Security kebijakan kepatuhan

Kita akan melihat masing-masing daerah ini kontrol kunci pada gilirannya, memberikan kata-kata BS7799 masing-masing dan merujuk ke bagian yang mereka milik.

1.An Dokumen Kebijakan Keamanan Informasi Bagian BS7799 ref : 1 (Kebijakan Keamanan) : 1.1.1

Kata-kata : "Sebuah dokumen kebijakan tertulis tersedia untuk semua karyawan bertanggung jawab atas keamanan informasi." Hal ini biasanya akan terdiri dari dokumen tertulis untuk mengkonfirmasi arah manajemen dan dukungan untuk keamanan informasi. Kebijakan ini akan mencakup definisi, tujuan, penjelasan, tanggung jawab dan proses untuk melaporkan dugaan insiden keamanan.

2.Allocation Tanggung Jawab Keamanan Informasi Bagian BS7799 ref : 2 (Organisasi Keamanan) : 2.1.3

Kata-kata : "Responsibilitesmfor perlindungan aset individu dan untuk melaksanakan proses keamanan khusus harus secara eksplisit didefinisikan. "

3.Keamanan Information Pendidikan dan Pelatihan Bagian BS7799 ref Kata-kata teknis." : 4 (Personil Keamanan) : 4.2.1 : "Pengguna harus diberikan pendidikan keamanan yang memadai dan pelatihan

Ini berarti mereka harus menerima pelatihan yang tepat dalam kebijakan organisasi dan prosedur, termasuk persyaratan keamanan dan bisnis lainnya pengendalian serta pelatihan dalam penggunaan fasilitas TI yang benar.

4.Reporting dari Insiden Keamanan Bagian BS7799 ref Kata-kata mungkin." : 4 (Personil Keamanan) : 4.3.1 : "insiden keamanan harus dilaporkan melalui saluran manajemen secepat

Sebuah prosedur pelaporan formal harus ditetapkan dan diikuti untuk pelaporan insiden keamanan, bersama-sama dengan prosedur tanggapan kejadian, menetapkan tindakan yang harus diambil pada menerima laporan insiden. Hal ini harus mencakup semua karyawan dan kontraktor.

5.Virus Kontrol Bagian BS7799 ref : 6 (Manajemen Komputer dan Jaringan) : 6.3.1

Kata-kata : "Virus pendeteksian dan pencegahan, langkah-langkah dan prosedur pengguna sesuai kesadaran harus dilaksanakan." Bidang sesuai dengan lisensi perangkat lunak, tidak sah penggunaan perangkat lunak dan perangkat lunak deteksi virus juga dibahas bersama-sama dengan pemeriksaan disket (dan CD ROMS) untuk virus sebelum digunakan.

6.Proses Perencanaan Kesinambungan Business Bagian BS7799 ref : 9 (Bisnis Perencanaan Kesinambungan) : 9.1.1

Kata-kata : "Harus ada proses yang dikelola di tempat untuk mengembangkan dan mempertahankan kelangsungan rencana bisnis di seluruh organisasi." Ini meliputi identifikasi proses bisnis kritis, dampak dari berbagai bencana pada kegiatan bisnis, pengaturan darurat, dokumentasi prosedur yang telah disepakati dan proses, pendidikan staf dan pengujian dan memperbarui rencana.

7.Control dari Menyalin Perangkat Lunak Proprietary Bagian BS7799 ref Kata-kata : 10 (Kepatuhan) : 10.1.1 : "Harap diingat pembatasan hukum atas penggunaan materi hak cipta."

Untuk melakukannya dengan memastikan bahwa organisasi ini di tempat kebijakan untuk memastikan bahwa tidak ada material hak cipta disalin tanpa persetujuan pemilik. perangkat lunak audit reguler harus dibuat.

8.An Dokumen Kebijakan Keamanan Informasi Bagian BS7799 ref : 10 (kepatuhan) : 10.1.2

Kata-kata : "catatan penting dari suatu organisasi harus dilindungi dari kehilangan, kerusakan dan pemalsuan." Beberapa catatan perlu aman dipertahankan untuk memenuhi persyaratan perundang-undangan serta untuk mendukung fungsi bisnis penting. Catatan harus dihancurkan yang telah ditahan di luar waktu retensi hukum mereka. Pedoman harus diterbitkan pada retensi, penyimpanan, penanganan dan pembuangan rekaman dan informasi. Inventaris informasi penting harus disimpan.

9.Perlindungan Data Bagian BS7799 ref : 10 (Kepatuhan) : 10.1.3

Kata-kata : "Aplikasi penanganan data pribadi pada individu-individu harus sesuai dengan peraturan perundang-undangan dan prinsip-prinsip perlindungan data." Informasi pribadi pada individu yang strored atau diproses pada komputer harus diperoleh dan diproses sesuai dengan undang-undang perlindungan data negara. (Selanjutnya, dalam bab ini kita mempertimbangkan data internasional yang berlaku umum prinsip-prinsip perlindungan).

10.Compliance dengan Kebijakan Keamanan Bagian BS7799 ref : 10 (Kepatuhan) : 10.2.1

Kata-kata : "Semua daerah di dalam organisasi harus dipertimbangkan untuk ditinjau secara berkala untuk memastikan kepatuhan terhadap kebijakan keamanan dan standar." Ini harus mencakup sistem TI dan penyedia sistem, informasi dan data pemilik, pengguna, dan manajemen.

Prinsip Perlindungan Data Sebagian besar negara-negara Eropa kini memiliki undang-undang perlindungan data yang circumscribes pengumpulan, pemeliharaan dan penggunaan data pribadi sehingga untuk melindungi hak-hak individu untuk privasi di lingkungan acomputer. Sekarang kebutuhan serikat eropa. Setiap negara di dunia tanpa risiko undang-undang tersebut menjadi tempat sampah "data" - lokasi untuk database jelek memegang informasi pribadi di mana pemilik data base ingin menghindari undang-undang pengendalian. Sebuah konsekuensi dari ini adalah bahwa perusahaan-perusahaan multinasional tidak tunduk pada undang-undang perlindungan data, untuk melakukannya, akan cenderung untuk menempatkan mereka dalam melanggar ketentuan perlindungan data di negara-negara lain di mana mereka memiliki operasi dan oleh karena itu staf. Di beberapa negara undang-undang perlindungan data yang terbatas ke data pribadi komputer yang dikuasai, tapi di negara lain, mencakup data pribadi diselenggarakan dalam bentuk apapun. Memimpin perusahaan sekarang menganggap prinsip-prinsip yang mendukung undangundang perlindungan data secara luas berlaku untuk semua database mereka, dan dimanapun berada. Secara umum prinsip-prinsip ini merupakan praktek TI yang baik untuk sistem apapun. Selain itu selalu ada kemungkinan bahwa sistem TI awalnya tidak dirancang untuk menyimpan data pribadi mungkin pada waktunya melakukannya - sehingga disarankan untuk mengembangkannya dari awal dengan prinsip-prinsip perlindungan data dalam pikiran Undang-undang perlindungan data dari negara-negara bangsa yang berbeda biasanya mengabadikan prinsip-prinsip perlindungan data sebagai berikut: 1.Data pada individu harus diperoleh dan diproses secara adil. 2.It harus diadakan untuk tujuan tertentu dan sah saja. 3.It tidak boleh digunakan atau diungkapkan dalam cara lain. 4.Data diadakan pada individu harus memadai, relevan, namun tidak berlebihan. 5.It harus akurat dan terus up to date. 6.An individu pada data yang dimiliki harus memiliki akses ke sana pada interval yang wajar dan tanpa penundaan yang tak wajar atau biaya.

7.There harus menjadi hak bagi seorang individu untuk meminta koreksi atau penghapusan data yang berkaitan dengan individu yang melanggar salah satu prinsip-prinsip perlindungan data. 8.There harus keamanan versus unautorised akses, penggunaan atau hilangnya informasi pribadi kebetulan diselenggarakan pada individu.

Keamanan di internet Pada awal 1996, internet (atau "Net") memiliki 50 juta pengguna yang terhubung di seluruh dunia diperkirakan. Ini adalah jaringan yang benar-benar global yang memungkinkan individu untuk bertukar surat elektronik, file dan pesan lainnya, untuk berpartisipasi dalam kelompok-kelompok kepentingan bersama dan untuk mengakses database ribu komputer di seluruh dunia. Banyak organitations merasakan kebutuhan mendesak untuk bisa terhubung ke internet. Tetapi memiliki risiko keamanan dan sedikit memahami kerumitan masalah solusi mereka. Internet adalah inheren berbahaya karena memungkinkan pengguna dalam suatu sistem. Ada di keamanan kecil ini untuk informasi yang dikirimkan di Internet. Ini berarti bahwa, kecuali pengguna berhati-hati, pesan perjalanan "dalam" yang jelas dan rentan terhadap halangan, misrouting atau gangguan. Virus juga dapat dilampirkan ke file yang dikirim melalui surat elektronik (e-mail). Prinsip-prinsip umum keamanan informasi dan kontrol dibahas sebelumnya dalam bab ini perlu diterapkan untuk penggunaan internet juga. Nasihat, secara umum, adalah: Jika server unternet terhubung ke sistem atau jaringan perusahaan, ada kebutuhan untuk mengamankan sistem / jaringan dari server internet - mungkin melalui penggunaan firewall "" atau layanan otentikasi aman - sebagai untuk mengurangi risiko penyerang mengakses informasi perusahaan. Jika sebuah perusahaan mengirim informasi sensitif atau transaksi keuangan melalui Internet, informasi harus dilindungi ketika dalam perjalanan, mungkin melalui penggunaan kriptografi. Analisis risiko formal menggunakan perusahaan internet harus dilakukan secara berkala dan langkah-langkah keamanan yang sesuai dikembangkan, diimplementasikan dan dimonitor. Perusahaan harus mengembangkan dan mengedarkan sebuah Kebijakan Internet Connection sehingga membuat pengguna menyadari potensi resiko dan perlindungan mereka.

SISTEM KOMPONEN FUNGSI / TEKNOLOGI INFORMASI

Kami telah memilih untuk menggunakan pendekatan dasarnya fungsional untuk mendefinisikan alam semesta audit teknologi informasi, yang memberi kita kemungkinan berikut rincian fungsi tombol, sistem atau kegiatan: Perencanaan strategis TI Organisasi IT Situs TI Pengolahan operasi Back-up dan media Sistem operasi dan perangkat lunak Sistem kontrol akses Personal komputer Pemeliharaan perangkat lunak jaringan area lokal (LAN) Database Undang-Undang Perlindungan Data Fasilitas manajemen Pengembangan sistem Software pilihan Perencanaan kontingensi Elektronik data interchange (EDI) Virus Elektronik kantor Pengguna dukungan BACS (dgn kata lain otomatis tunai / transfer dana) Spreadsheet desain Sistem pakar TI akuntansi. Ini daftar kegiatan dan fungsi ini sengaja bernada untuk memperhitungkan berbagai macam kemungkinan yang berpotensi TI skenario. Sebagai contoh, beberapa item yang lebih mirip dengan instalasi mainframe tradisional, sementara yang lain dirancang untuk penggunaan kontemporer bisnis jaringan dan komputer pribadi. Papan ini - pendekatan sikat ini dimaksudkan untuk memungkinkan auditor untuk mengidentifikasi dan ekstrak unsur-unsur yang cocok dengan menggunakan organisasi mereka sendiri tentang IT. Kita tidak boleh

menjadi terlalu terpaku dengan definisi dari daftar kegiatan, karena mereka jarang akan beroperasi dalam isolasi melengkapi satu sama lain - misalnya, perencanaan strategis TI output mungkin memiliki relevansi langsung dengan perkembangan sistem atau perluasan jaringan area lokal.

Tujuan Pengendalian , Risiko dan Isu Pengendalian Kita sekarang akan menjelaskan tujuan pengendalian dan hubungan risiko dan isu pengendalian (dibagi dalam isu kunci dan isu detail) untuk setiap bidang aktivitas teknologi informasi yang dicatat diatas. Data tersebut dapat digunakan dalam format SAPG yang dapat dilihat di chapter 3. Untuk menyingkat waktu kita harus memfokuskan dalam tujuan menjadi keadaan dan pertanyaan menjadi jawaban dan tidak menampilkannya dalam format SAPG. Untuk detail lebih luas dalam aplikasi dari teknik metrik pengendalian untuk keseluruhan dari aktivitas IT, merujuk pada Auditing lingkungan IT. Appendix 11 menampilkan isu-isu dasar untuk area IT berhubungan dengan aktivitas yang berdasarkan atas format dari SAPG, bersama dengan beberapa ilustrasi pengendalian dan pengukuran. Audit Perencanaan Strategi TI Pada bagian ini kita akan berkonsentrasi pada rencana penggunaan TI dalam bisnis untuk memastikan bahwa tujuan bisnis dan operasional dicapai secara efektif. Di sana mungkin terdapat berbagai pilihan untuk TI yang didasarkan pada solusi bisnis dan memilih yag paling tepat di antara yang sulit dan penting bagi bisnis. Di sana terdapat bahaya yang bersifat sedang bahwa organisasi akan terkunci dengan cepat dalam sebuah lingkungan TI yang kuno dan tidak fleksibel yang gagal menyampaikan berbagai iklan atau keunggulan kompetitif. Teknik penerapan perencanaan strategi yang resmi pada penggunaan TI bisnis secara normal akan berkonsentrasi pada ketentuan (syarat) utama bisnis dan tujuan yang telah ditetapkan oleh manajemen sebagai bagian dari perencanaan jangka panjang. Pada sasaran ini, cita-cita dan tujuan perencanaan jangka panjang digunakan untuk memetakan (membagi) penggunaan TI yang ada untuk mendukung bisnis, hal penting mengenai beberapa nilai dan data yang tinggi terkait dengan aktivitas yang dapat ditingkatkan dengan menggunakan TI yang didasarkan pada metode-metode. Output utama dari strategi IT adalah sebuah rencana kegiatan yang dirancang untuk mengambil bisnis kedepan dari skenario TI saat ini untuk lingkungan seterusnya. Jika output menggambarkan perubahan secara luas, sebuah rencana kegiatan seperti sebuah tingkatan program yang mungkin memasukkan elemen sebagai berikut:

1. perolehan dan pengangsuran platform hardware baru (seperti perpindahan dari kerangka

utama tradisional ke sistem yang berdasarkan klien/server); 2. peningkatan atau perluasan infrastruktur data komunikasi (seperti pemasangan jaringan pada area lokal atau luas, barisan komunikasi yang diresmikan,dll); 3. peningkatan atau penataran sistem komunikasi yang ada (seperti perluasan tipe data atau perluasan proses fungsional); 4. penugasan software aplikasi baru untuk mendukung aktivitas bisnis (seperti pengembangan internal atau eksternal pada software); 5. pengenalan pengembangan dan teknik manajemen TI yang baru atau yang diperbaiki agar berkontribusi pada efisiensi dan efektivitas (seperti penggunaan metodologi pengembangan sistem formal atau perkenalan dari sebuah sistem pendukung pengguna yang direvisi). Tidak semua perubahan dihasilkan melalui proses strategi TI yang diperlukan menjadi hardware atau software terkait, mungkin sebuah kasus mengenai pengenalan tekik baru atau yang direvisi yang membantu efisiensi fungsi TI. Pendekatan yang dipakai untuk menghasilkan sebuah rencana strategi TI, tentu tergantung pada skala atau tipe dari bisnis yang mendasarinya dan tingkat keterlibatan TI saat ini. Sebagai contoh, organisasi yang lebih luas mungkin disediakan untuk membenarkan sebuah team pengembangan software rumahan untuk menciptakan dan mendukung sistem aplikasi bisnis yang spesifik, sedangkan (mengingat) norma mungkin menggunakan pengembang sofware eksternal untuk menyesuaikan dengan sebuah sistem standar yang ada atau untuk membangun sistem baru. Apapun bentuk rencana kegiatan yang direkomendasikan untuk dipakai, poin utamanya adalah bahwa mereka harus dibenarkan dalam syarat (hubungan) bisnis. Di sana tidak ada tempat untuk TI demi TI, sebaliknya ujung permulaan TI mengayunkan bisnis yang berharga. Tujuan pengendalian untuk perencanaan strategi TI: 1. Untuk memastikan bahwa fasilitas dan pelayanan TI mendukung tujuan strategi bisnis dan memelihara keunggulan kompetitif.
2. Untuk memastikan bahwa penggunaan TI di organisasi direncanakan dan diputar secara

memadai berdasarkan kebutuhan bisnis. 3. Untuk memastikan bahwa investasi pada fasilitas TI adalah benar dan nilainya digambarkan secara moneter.

4. Untuk memastikan bahwa sebuah lingkungan TI yang stabil, dapat dipercaya dan aman tersedia untuk mendukung bisnis. 5. Untuk memastikan bahwa keperluan bisnis saat ini dan yang diantisipasi disediakan oleh fasilitas bisnis secara tepat. 6. Untuk memastikan keterampilan karyawan yang memadai dan tepat tersedia untuk mendukung pencapaian dari tujuan yang telah ditetapkan. 7. Untuk memastikan bahwa lingkungan TI menggabungkan hardware, software, metode, fasilitas dan peralatan secara tepat dan benar untuk mendukung bisnis. 8. Untuk memastikan bahwa informasi yang dibutuhkan untuk bisnis telah disediakan oleh sistem saat ini dan yang direncanakan. 9. Untuk memastikan bahwa sebuah metodologi perencanaan yang sesuai adalah benar untuk diidentifikasi secara akurat berdasarkan keperluan dan mengkonversinya menjadi rencana tindakan. 10. Untuk memastikan bahwa hanya sistem yang benar dan diotorisasi yang dikembangkan dan dipelihara. 11. Untuk memastikan bahwa semua proyek dan akuisisi TI adalah sah dan sesuai dengan perencanaan tujuan yang telah ditetapkan. 12. Untuk memastikan bahwa solusi yang efektif dan optimum telah diaplikasikan. 13. Untuk memastikan bahwa biaya yang terkait dengan TI diidentifikasi secara akurat dan ditahan dalam batasan anggaran. Risiko dan isu pengendalian untuk perencanaan strategi TI: 1. Isu-isu utama
1.1

Bagaimana manajemen memastikan bahwa ketentuan dari semua hardware, software, metode dan sumber daya TI tetap sejalan dengan pimpinan strategi bisnis dan pencapaian keunggulan kompetitif, dll?

1.2

Tindakan apa yang diambil oleh manajemen untuk mengidentifikasi dan meninjau cara yang mungkin dapat digunakan untuk mencapai keunggulan kompetitif melalui penerapan TI?

1.3

Bagaimana manajemen memastikan bahwa penggunaan dari fasilitas TI disediakan oleh organisasi dan bahwa sistem dan metode yang tidak perlu, kurang memadai atau kuno diidentifikasi dan dihindari?

1.4

Apakah manajemen telah menentukan sebuah mekanisme untuk memastikan bahwa kebutuhan bisnis saat ini dan di masa yang akan datang akan didukung secara tepat oleh pengunaan TI?

1.5 1.6 1.7 1.8

Bagaimana manajemen memastikan bahwa kebutuhan informasi bisnis tersedia secara memadai? Proses apa yang memastikan bahwa fasilitas TI tetap relevan dan sesuai dengan perubahan dan perkembangan bisnis? Ukuran apa yang memastikan bahwa semua biaya dan investasi TI sesuai dengan rencana yang telah disetujui dan diotorisasi dengan tepat? Mekanisme apa yang mencegah akuisisi dan pengembangan sistem dan fasilitas yang tidak diotorisasi (diluar persetuan direksi)?

2. Isu-isu rinci 2.1 Bagaimana manajemen memastikan bahwa tujuan utama bisnis diidentifikasi berdasarkan rencana TI yang akurat (dan pedoman apa yang memastikan bahwa tujuan tetap up to date)? 2.2 Bagaimana manajemen memastikan bahwa rencana TI memperhatikan trend teknis saat ini dan yang muncul sebagai dasar untuk menilai keuntungan yang potensial? 2.3 2.4 Bagaimana manajemen mengawasi proyek dan fasilitas TI yang potensial dinilai, dibenarkan dan diotorisasi secara memadai? Apakah manajemen telah menentukan sebuah susunan kebijakan yang telah disetujui dan didokumentasikan untuk mendukung penerapan TI diseluruh organisasi, dan untuk memastikan bahwa tujuan bisnis ditujukan secara memadai? 2.5 Bagaimana manajemen memastikan bahwa semua fasilitas TI mendukung lingkungan yang stabil, dapat diandalkan dan aman, (dan pedoman apa yang menetapakan bahwa supplier utama adalah stabil)? 2.6 Mekanisme apa yang memastikan bahwa perubahan yang telah disetujui untuk operasi dan tujuan bisnis diidentifikasi dan dinilai secara tepat untuk pengaruhnya pada fasilitas TI? 2.7 Bagaimana manajemen memastikan bahwa keterampilan karyawan TI disediakan secara memadai dan tepat untuk mendukung kebutuhan saat ini dan yang diantisipasi?

2.8 Bagaimana manajemen memastikan bahwa pengaruh dari pemakaian

hardware, software, metode dan fasilitas TI yang spesifik telah diidentifikasi, dinilai dan direncanakan secara memadai? 2.9 Apakah data yang dibutuhkan untuk bisnis telah diidentifikasi berdasarkan sistem saat ini dan di masa yang akan datang (dan bagaimana kelebihan dan salinan data dapat dihindari)? 2.10 Mekanisme apa yang memastikan bahwa semua sistem dan amandemen yang baru ada adalah benar dan sah? 2.11 Bagaimana komitmen manajemen senior untuk membuktikan strategi TI yang telah ditetapkan? 2.12 Bagaimana mereka? 2.13 Apakah semua sistem dan lingkungan IT yang potensial mengubah penilaian, justifikasi dan persetujuan proses yang resmi? 2.14 Prosedur apa yang memastikan bahwa semua biaya yang terkait dengan TI diidentifikasi, diawasi dan diketahui secara akurat? 2.15 Apakah semua amandemen dari strategi TI ditinjau dan diotorisasi secara resmi (dan bagaimana menetapkannya)? 2.16 Bagaimana manajemen memastikan bahwa semua kelompok yang dipengaruhi (pengguna, sistem kepemilikan, dll) dikonsultasikan dan dilibatkan secara memadai dalam proses perencanaan TI? 2.17 Ukuran apa yang memastikan bahwa hanya data yang akurat dan dapat dipercaya yang digunakan dalam proses perencanaan TI? 2.18 Bagaimana informasi yang sensitif atau rahasia secara komersil digunakan dalam proses perencanaan terlindungi dari kebocoran dan penyalahgunaan? Audit Proses Operasi Isi dari bagian ini dimasksudkan supaya mereka dapat diaplikasikan pada berbagai macam situsi proses yang berbeda. Contohnya, berorientasi pada sekumpulan metode tradisional yang secara normal berhubungan dengan sistem kerangka utama atau catatan dari data langsung (dan biasanya informal) dalam kedudukan yang bebas atau jaringan komputer personal (PC). manajemen memastikan bahwa semua karyawan yang dipengaruhi menyadari adanya keperluan strategi TI dan tanggung jawab

Terlepas dari penggunaan platform hardware, auditor akan berkonsentrasi pada keakuratan, keabsahan, otorisasi dan kelengkapan data. Faktor-faktor ini tidak hanya berkenaan dengan (mengenai) pengendalian akses, tetapi juga pengaruh pada penggunaan dari jenis program komputer yang diotorisasi dan sah. Di luar poin ini, terdapat kemungkinan untuk memperhatikan upah kinerja, seperti, apakah output data disediakan secara tepat waktu agar dapat digunakan dalam sistem antarmuka yang lainnya dan untuk sirkulasi karyawan guna mendukung aktivitas mereka? Tujuan pengendalian untuk proses operasi: 1. Untuk memastikan bahwa semua proses adalah sah, diotorisasi dan akurat. 2. Untuk memastikan bahwa data telah terlindung dari akses dan pemakaian yang tidak diotorisasi. 3. Untuk memastikan bahwa tingkat keperluan pelayanan telah dicapai untuk mendukung tujuan bisnis. 4. Untuk memastikan bahwa hanya program yang diotorisasi dan teruji yang digunakan. 5. Untuk memastikan bahwa hanya data yang akurat, lengkap dan tepat waktu yang disediakan. 6. Untuk memastikan bahwa proses fasilitas TI beroperasi pada kinerja atau efisiensi yang optimum tanpa membahayakan integritas dan reliabilitas sistem. Risiko dan isu-isu pengendalian untuk proses operasi: 1. Isu-isu utama 1.1 1.2 1.3 1.4 1.5 1.6 Ukuran umum apa yang memastikan bahwa aktivitas pemrosesan adalah sah, akurat dan diotorisai? Ukuran khusus (spesifik) apa yang mencegah transaksi dan/atau sistem amandemen yang diterapkan tidak diotorisasi? Bagaimana manajemen dapat memastikan bahwa data adalah akurat, lengkap, sah dan dapat dipercaya? Bagaimana data yang sensitif atau rahasia secara komersial terlindung dari akses atau pemborosan yang tidak diotorisasi? Ukuran apa yang memastikan bahwa hanya jenis program yang diotorisasi dan teruji yang digunakan? Bagaimana manajemen secara tepat dapat menyadari adanya berbagai proses aktivitas yang abnormal?

1.7 1.8 1.9

Langkah apa yang mencegah karyawan pengembangan melakukan akses secara langsung terhadap lingkungan produksi? Bagaimana manajemen mengawasi keterampilan karyawan operasional dan teknis tetap up to date dan relevan? Bagaimana menajemen memastikan bahwa kerangka pokok dan sistem distribusi dioperasikan pada efisiensi yang optimum (dan bahwa kelebihan fasilitas dapat dicegah)?

1.10 Ukuran apa yang mencegah penggunaan dari fasilitas kerangka pokok (atau ekuivalen) tidak diotorisasi? 1.11 Bagaimana manajemen mengawasi bahwa sistem operasi disusun secara efisien dan bahwa keterampilan karyawan disediakan secara memadai untuk memelihara dan/atau membangun kembali sistem seandainya mayoritas mengalami kegagalan? 1.12 Langkah memadai apa yang telah digunakan untuk memastikan bahwa semua hardware utama dipelihara dengan tetap dan tepat untuk memcegah gangguan yang tidak diperlukan dalam pelayanan,dll? 1.13 Ukuran apa yang memastikan bahwa penggunaan dari bahasa pengendalian tugas (JCL) atau bahasa pengendalian sistem (SCL) yang optimis dan bahwa tugas yang tidak efisien atau tidak tepat tidak dibebankan? 1.14 Apakah akses terhadap fasilitas JCL dan SCL secara memadai dibatasi untuk menghindari amandemen yang tidak diotorisasi? 1.15 Langkah apa yang memastikan bahwa semua tingkatan proses yang diperlukan telah diterapkan dengan benar dalam urutan yang tepat?
1.16 Ukuran apa yang memastikan bahwa proses dikendalikan (disalurkan) sesuai

dengan ketentuan bisnis dan dalam skala waktu yang ditetapkan? 1.17 Langkah apa yang memastikan bahwa hanya data yang diotorisasi, akurat dan tepat yang dibebankan pada akses pengguna? 1.18 Apakah manajemen telah menetapkan tingkatan ketentuan pelayanan yang diperlukan dan ukuran apa yang memastikan bahwa kriteria kinerja yang telah disetujui dapat dicapai? 2. Isu-isu rinci 2.1 Bagaimana manajemen secara tepat dapat mengetahui berbagai data yang rusak dan tidak akurat?

2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9

Langkah spesifik apa yang dapat mencegah pembebanan dan penggunaan program atau sistem amandemen tidak diotorisasi dan tidak diuji? Ukuran apa yang menilai dan menguraikan secara tepat masalah dan keterlambatan proses? Ukuran apa yang digunakan untuk mengkonfirmasi secara positif proses operasi yang akurat dan lengkap? Ukuran apa yang mencegah pengiriman atau ketentuan dari output yang tidak akurat kepada pengguna? Ukuran kontinjensi apa yang digunakan untuk memperbaiki gangguan pelayanan secara tepat? Bagaimana manajemen memastikan bahwa akses dan penggunaan dari program yang bermanfaat adalah sah, tepat dan telah diuji coba? Apakah tindakan dari karyawan operasional mampu diidentifikasi dan diuji coba (dan apakah mereka bertanggung jawab terhadap tindakannya)? Apakah catatan aktivitas ditinjau secara rutin untuk memastikan bahwa aktivitas yang tidak diotorisasi dapat dideteksi?

2.10 Ukuran spesifik apa yang mencegah pelaksanaan dari JCL atau SCL yang tidak efisien dan tidak sah? 2.11 Langkah apa yang mematikan bahwa semua proses operasi pada umumnya dikendalikan dalam urutan yang benar dan pada waktu yang relevan? 2.12 Ukuran apa yang memastikan bahwa hanya file data yang benar yang dibebankan, dan bahwa file yang tidak sah dapat dideteksi? 2.13 Ukuran apa yang mencegah kelebihan penulisan sebelum waktunya atau penghapusan file data? 2.14 Ukuran apa yang memungkinkan sambungan proses aktivitas jika sebuah data atau program utama hilang atau rusak? 2.15 Apakah manajemen telah menyediakan prosedur atau kebijakan operasional yang memadai untuk memastikan bahwa karyawan operasional menyadari tanggung jawabnya secara penuh? Audit Back-up Media dan Keamanan Memperhatikan pembayaran untuk back-up dan penyimpanan data yang aman (terjamin) sering (palsu!) dilakukan sebagai pekerjaan yang dapat diserahkan ke hari lain. Itu semua terlalu mudah untuk mengabaikan nilai riil dari data bisnis dan tidak cukup dengan

melakukan pencegahan untuk melindungi data dari masalah yang terjadi pada komputer atau sistem aplikasi. Situasi ini diperparah oleh meluasnya penggunaan komputer pribadi (PC) dalam bisnis, dimana pilihan untuk mengambil tindakan pencegahan yang diperlukan dengan data biasanya diserahkan pada kebijaksanaan pengguna. Penanganan dan teknik keamanan dari data resmi yang muncul dari instalasi mainframe selama periode berjalan tidak mudah menerjemahkan ke dalam dunia yang lebih informal dan terbuka dari PC. Selain itu, kecuali tanggung jawab untuk data dan sistem back-up yang jelas dan terpenuhi, itu terlalu mudah bagi pengguna akhir untuk berasumsi bahwa orang lain mengamankan sistem mereka. Pada bagian kita meneliti isu yang terkait dengan perlindungan data melalui back-up yang memadai, dan juga mencakup rincian dari praktik terkait dengan media penyimpanan yang aman dan penanganan (pemeliharaan) media. Tujuan pengendalian untuk back-up media dan keamanan :
a. Untuk memastikan bahwa sistem dan data yang kritis di back-up secara memadai dan

sering untuk melindungi operasi bisnis dan integritas organisasi.

b. Untuk menyediakan cara untuk memperbaiki secara cepat dan akurat dari kegagalan

sistem atau situasi pengolahan tidak sah.

c. Untuk memastikan semua data perusahaan dilindungi secara memadai dari kerugian,

kerusakan, dan pemborosan.

d. Untuk memastikan bahwa semua data perusahaan diamankan dan dipertahankan. e. Untuk memastikan bahwa data tetap dipertahankan dalam bentuk dan akses yang dapat

digunakan.
f. Untuk memastikan bahwa organisasi mampu mematuhi penyimpanan data yang

berlaku, perundang-undang, dan peraturan (hukum).

g. Untuk memastikan bahwa data fasilitas penyimpanan menyediakan kondisi lingkungan

yang sesuai untuk mencegah kemerosotan atau kerusakan pada media.

h. Untuk memastikan bahwa staf media yang tepat terampil dalam penanganan media

teknik.
i.

Untuk memastikan bahwa semua media dan data yang akurat diidentifikasi, diikuti, dan dipertanggungjawabkan. Untuk memastikan bahwa media dan data tidak prematur dibuang atau dihancurkan. Untuk memastikan bahwa pengguna dibuat menyadari tanggung jawab mereka berkaitan dengan back-up dan perlindungan data pada PC.

j.

k. Untuk mencegah infeksi pada media dan sistem melalui virus. l.

m. Untuk memastikan bahwa hanya data yang benar yang digunakan untuk operasi. n. Untuk memastikan bahwa media yang rusak atau cacat diidentifikasi, diganti, dan

dibuang.
o. Untuk mencegah penggunaan media dan data yang tidak sah.

Resiko dan isu pengendalian back-up media dan keamanan

1. Isu Kunci 1.1

Bagaimana manajemen memastikan bahwa semua sistem dan data utama secara efektif dilindungi dalam hal kegagalan atau kerusakan untuk menghindari gangguan pada operasi dan kebutuhan bisnis?

1.2

Bagaimana manajemen yakin bahwa sistem dan file data diback-up pada waktu yang tepat? Apakah pedoman untuk memantau bahwa back-up data yang ditentukan (dan sistem) rutin diterapkan secara benar dalam praktik? Bagaimana manajemen memastikan bahwa back-up data dan prosedur perbaikan saat ini memadai sehingga sistem dapat diperbaiki dengan cepat dan akurat?

1.3

1.4

1.5

Apa ukuran yang digunakan untuk memastikan bahwa semua data dan sistem back-up disimpan dengan aman dan dilindungi dengan cukup dari kerusakan, kerugian, atau kemerosotan?

1.6

Apa langkah-langkah yang digunakan untuk melindungi elemen utama dari data perusahaan dalam hal kegagalan sistem utama atau bencana yang menimpa fasilitas IT?

1.7

Apa ukuran untuk memastikan bahwa semua data dan sistem back-up dapat secara akurat dan cepat, diidentifikasi, dan dilacak? Bagaimana manajemen meyakinkan bahwa organisasi dengan benar mematuhi semua perundang-undang yang berlaku dan data penyimpanan relevan dan peraturan (hukum) (yaitu untuk akuntansi dan keuangan data)?

1.8

1.9

Apa ukuran untuk memastikan bahwa media back-up dalam jangka panjang tetap dibaca dan bermanfaat?

1.10 Apa ukuran untuk memastikan bahwa hanya data yang benar dan sah dan file

sistem yang digunakan dalam kegiatan pengolahan?

1.11 Apakah ukuran spesifik untuk mencegah penghapusan dini, pembuangan,

atau pengunaan media back-up?

1.12 Apa ukuran untuk mencegah dan/atau mendeteksi infeksi virus media dan

penyebaran infeksi pada seluruh sistem perusahaan?

2. Isu Rinci 2.1

Apakah manajemen telah membentuk prosedur back-up yang telah disetujui yang antara lain, berbagai elemennya yaitu sebagai berikut:
a. b. c.

Frekuensi back-up Jumlah salinan Periode penyimpanan?

2.2

Bagaimana manajemen memastikan bahwa prosedur back-up tetap tepat dalam hubungannya dengan perubahan kebutuhan bisnis, dll? Apa ukuran untuk mendeteksi kegagalan dalam melakukan back-up yang ditentukan pada waktu yang tepat? Bagaimana manajemen memastikan bahwa sistem dan data dapat segera pulih melalui salinan data (yaitu apakah proses pemulihan telah diuji untuk membuktikan efektivitas)?

2.3

2.4

2.5
2.6

Bagaimana manajemen memeriksa bahwa pengguna akhir data menerapkan rutinitas back-up untuk melindungi aktivitas yang berbasis pada PC? Apakah manajemen memastikan bahwa semua back-up utama secara rutin dicatat? Di mana fasilitas back-up penyimpanan dialokasikan (dan apakah lokasi ini mampu melindungi dalam hal saat terjadi bencana, seperti kebakaran, yang mempengaruhi fasilitas utama TI)?

2.7

2.8

Bagaimana pembuangan media usang atau media yang tidak diinginkan dikendalikan sehingga item yang sah tidak dihancurkan atau ditimpa? Apakah staf yang terlibat dalam penanganan media terlatih dalam penanganan dan teknik pengangkutan untuk melindungi data dan sistem perusahaan?

2.9

2.10 Apakah salinan data utama yang memadai telah disediakan ketika dalam

kasus satu salinan yang menjadi rusak atau tidak terbaca?

2.11 Apa

ukuran

untuk

memastikan

bahwa

infeksi

virus

segera

terdeteksi,dikendalikan, dan ditangani dengan efektif?

2.12 Apa ukuran spesifik untuk mencegah pemindahan media terinfeksi virus

kepada pihak ketiga (seperti pemasok atau pelanggan)?

2.13 Bagaimana akses tidak sah kepada atau penggunaan media back-up dicegah

(atau terdeteksi)? Sistem Pengendalian Akses Pada topik dibawah ini, kami mempertimbangkan perlindungan pada data dan sistem dari penggunaan yang tidak diotorisasi dengan tujuan untuk memastikan bahwa data akurat, dapat diandalkan dan rahasia. Tujuan pengendalian untuk sistem pengendalian akses 1. Untuk memastikan bahwa sistem dan data aman, dari akses dan pemakaian yang tidak diotorisasi. 2. Untuk mencegah gangguan (kekacauan) pada bisnis karena kases yang tidak diotorisasi pada fasilitas komputer. 3. Untuk memastikan bahwa perlindungan data memadai dari amandemen yang tidak diotorisasi, kehilangan atau kebocoran. 4. Untuk memastikan bahwa seluruh sistem yang digunakan dicatat dan diperhitungkan. 5. Untuk memastikan pelanggaran potensial pada akses keamana dapat ditemukan dan sistem dan data perusahaan. 7. Untuk memastikan bahwa password untuk akses diterima dan dijaga kerahasiaanya. 8. Untuk memastikan bahwa kebenaran akses dan dokumen pencatatan diperbarui. Risiko dan isu pengendalian untuk sistem pengendalian akses 1. Isu kunci 1.1 1.2 1.3 1.4 Apakah manajemen telah menetapkan sistem kebijakan dan kepemilikan data untuk pengguna tanggungjawab pada sistem dan data mereka? Ukuran apa untuk memastikan bahwa data dan sistem dijaga (dilindungi) dengan efektif dari akses yang tidak diotorisasi dan diamandemen? Bagaimana mengidentifikasi sistem yang digunakan (petunjuk dimana diperlukan)? Ukuran apa untuk memastikan bahwa rencana pengendalian akses diperbarui dan relevan untuk mendasari kebutuhan bisnis? 6. Untuk memastikan bahwa karyawan patuh pada tanggungjawabnya untuk menjaga

1.5 1.6 1.7 1.8

Siapa yang melakukan pengendalian atau pemberian hak akses dan bagaimana manajemen memeriksa operasi dengan benar? Bagaimana manajemen mengawasi bahwa karyawan sepenuhnya patuh pada tanggungjawabnya dengan memperhatikan keamanan data dan sistem? Bagaimana manajemen memastikan bahwa pengguna password telah efektif dan dijaga dari kebocoran dan penyalahgunaan? Ukuran khusus apa untuk mencegah penggunaan hubungan yang sederhana (komputer personal) yang ditinggalkan dengan kondisi menyala dan tidak diawasi?

1.9

Bagaimana manajemen memastikan bahwa pengguna sistem akses perlu tahu mengenai basis

2. Isu detail 2.1 2.2 2.3 2.4 2.5 Bagaimana akses yang valid pada sistem dan data ditetapkan? Mekanisme apa untuk memastikan bahwa orang yang meninggalkan dan pergantian posisi diamandemen dengan tepat pada sistem akses? Apakah penetapan akses yang benar diperiksa secara periodik, akurat dan relevan (menghapus atau mengedit data yang usang atau lampau)? Apakah usaha pelanggaran keamanan akan dideteksi secara tepat dan dilaporkan kepada manajemen untuk ditindaklanjuti? Ukuran tambahan apa untuk memastikan bahwa level tertinggi atau akses istimewa dikendalikan dengan efektif dan tindakan yang relevan (diotorisasi)? 2.6 2.7 2.8 Apakah manajemen telah menetapkan usaha pelanggaran keamanan pada pelanggaran kedisplinan staff? Apakah rencana akses utama ditinjau dan dinilai secara periodik (dan bagaimana menunjukkannya)? Apakah password standar telah ditetapkan ( minimal panjang karakter, perubahan pada umumnya, menghindari kata-kata yang sering dan sudah banyak digunakan sebelumnya)? 2.9 Apabila password standar telah ditetapkan, bagaiman manajemen yakin bahwa hal tersebut dipatuhi?

2.10 Bagaimana initial password dikomunikasikan kepada penggunan dengan relevan dan ukuran apa yang digunakan untuk memastikan bahwa password tetap aman? Pemilihan Software Bagian ini berbeda dengan bagian sebelumnya, yaitu menekankan pada pemilihan solusi software dari kontraktor (pihak luar) dan pada kondisi normal yang menghubungkan sistem komputer pada umumnya (sistem pengendalian persediaan) daripada petunjuk normal tentang syarat sistem spesialis yang memperlihatkan perkembangan. Dalam menentukan sumber software eksternal, manajemen akan memastikan bahwa pemasok stabil, dapat dipercaya dan mampu memuaskan kebutuhan perusahaan. Tujuan pengendalian untuk pemilihan software 1. Untuk memastikan bahwa akuisisi software telah memenuhi syarat, diotorisasi dan menapat persetujuan oleh direksi strategi IT. 2. Untuk memastikan bahwa seluruh software dapat dipercaya, aman, fleksibel dan cukup mendapat dukungan. 3. Untuk memastikan bahwa pemasok software stabil dan snggup untuk memenuhi produk pendukung. 4. Untuk memastikan bahwa semua pengaruh yang menghubungkan biaya dengan akuisisi software diidentifikasi dengan akurat. 5. Untuk memastikan bahwa solusi software yang optimal dapat diseleksi.
6. Untuk memastikan bahwa pelatihan karyawan memadai dan mendukung penggunaan

software secara efisien. Risiko dan isu-isu pengendalian untuk pemilihan software 1. Isu Kunci 1.1 1.2 1.3 1.4 Apakah penilaian tentang akuisisi software telah memenuhi syarat dan telah diotorisasi (dan bagaiman menunjukkannya)? Bagaimana manajemen memastikan bahwa software yang diperoleh sesuai dengan persetujuan strategi IT dan ditentukan oleh program? Bagaimana manajemen memastikan bahwa produk software yang diperoleh, dapat diandalkan dan terjamin keamanannya? Bagaimana manajemen menegaskan bahwa solusi software secara optimal dapat diseleksi (dan apakah mungkin solusi tersebut diuji)?

1.5 1.6

Langkah apa yang dilakukan manajemen untuk menegaskan (memperkuat) bahwa pemasok software potensial dapat dipercaya? Bagaimana manajemen menegaskan bahwa pemasok software sanggup menyediakan produk pendukung (termasuk implementasi dan pelatihan karyawan yang dibutuhkan)?

1.7 1.8
1.9

Basis apa yang digunakan untuk mencari solusi pasar (syarat spesifik yang digunakan untuk menilai kecocokan software)? Bagaimana manajemen memastikan bahwa semua biaya dan implikasi mengenai akuisisi software telah dinilai dan diotorisasi? Manajemen apa yang digunakan untuk memastikan bahwa pengguna fasilitas pendukung memadai (termasuk dokumentasi dan pelatihan) yang disediakan secara maksimal untuk kepentingan dari sistem?

1.10 Produk software apa untuk pengujian secara formal dan hasil prestasi penjualan yang memuaskan tersebut diotorisasi? 1.11 Ukuran apa untuk memastikan bahwa rencana implementasi software baru sudah memadai dan sumber daya tersedia dengan tepat? 2. Isu Detail 2.1
2.2

Ukuran spesifik apa untuk mencegah akuisisi yang tidak diotorisasi dan kualitas paket software yang jelek? Laporan posisi pasar dan reputasi software pemasok Ajhajha Bagaimana manajemen memastikan bahwa langkah demonstrasi produk software diperbarui sesuai dengan program yang ada di dalam organisasi? Apakah harga upgrade produk di masa mendatang dan pelatihan karyawan dinilai lebih dahulu dalam pembelian secara akurat? Apabila perubahan atau perbaikan untuk produk standar perlu

2.3 2.4 2.5 2.6

dipertimbangkan, apakah mereka dan biaya asosiasi lebih dahulu diotorisasi dan memenuhi syarat (bagaimana menunjukkannya)? 2.7 Apakah kelemahan kinerja (penggunaan aktual) dapat dideteksi dan diubah?

Sistem dan Operasi Software

Disini kita dikosentrasikan dengen kategori dari software yang mana adalah dasar untuk operasi computer. Sistem dan operasi software akan menentukan bagaimana computer secara dasar mengatasi data, menyimpan file, dll. Pada lingkungan personal computer yang lebih dikenal, system operasi contohnya MS_DOS, Windows dan Windows 95. Pengguna PC siapa menggunakan lingkungan Windows, akan mungkin sadar bahwa banyak pilihan konfigurasi yan tersedia dan bahwa itu daoat diambil sewaktu-waktu untuk menetapkan teliti membangun yang mana lebih banyak warna yang mereka butuhkan. Windows memiliki keuntungan agak baik bagi pengguna ramah, sekali kamu memahami jargon dan jarak berbagai kemungkinan. Pilihan yang tersedia memiliki potensial untuk dampak kecepatan dan efisien dari operasi, penampilan pemandangan, dan jarak pilihan yang ditawarkan ke pengguna. Akan tetapi, system operasi untuk networking dan mainframe lingkungan secara normal lebih komplek dan biasanya memerlukan keahlian untuk dapat mempertimbangkan dalam konfigurasi dan penggunaan mereka. Bagian ini tidak bermaksud untuk berorientasi secara teknik, tetapi berkonsentrasi pada bisnis dan implikasi operasional dari system dan operasi software. Secara komersial tersedia system operasi yang biasanya mempersembahkan pokok buku teknikal yang mana menjelajahi kedalaman dari kompleksitas mereka untuk keuntungan dari manajer system dan spesialis TI lainnya. Tentu saja ada teks khusus yang dirancang sedemikian rupa untuk auditor internal. Tujuan Pengendalian untuk Sistem dan Operasi Software 1. Untuk memastikan bahwa hanya system dan operasi software yang disetujui dan handal yang digunakan untuk menyediakan dasar untuk proses operasi data.
2. Untuk memastikan bahwa konfigurasi dari sistem/operasi software mendukung

berjalannya system dengan efisien.

3. Untuk memastikan bahwa system operasi mencegah akses yang tidak disetujui untuk

fasilitas dan data sistem.

4. Untuk memastikan bahwa kecukupan dan secara tepat ketrampilan staf tersedia untuk

memelihara sistem/operasi software. 5. Untuk memastikan bahwa semua penataan perubahan atau amandemen software diaplikasikan untuk operasi software secara valid, disetujui dan secara penuh diuji sebelumnya untuk implementasi. 6. Untuk memastikan bahwa menggunakan hak istimewa atau fasilitas level tinggi adalah valid, disetujui dan secara cukup dicoba.

7. Untuk memastikan bahwa sistem operasi untuk computer personal dikonfigurasi secara

tepat untuk kinerja yang maksimal dan integritas.

8. Untuk memastikan bahwa sistem operasi computer personal secara cukup dilindungi

untuk kerusakan yang tidak diinginkan. 9. Untuk memastikan bahwa kemampuan untuk sembuh dari kegagalan utama system dipelihara dan secara periodic diuji. 10. Untuk memastikan bahwa kondisi eror, dll, dibukukan secara tepat dan ditindak lanjuti.
11. Untuk memastikan bahwa menggunakan peralatn bertenaga dan diagnostic software

dikendalikan dan diawasi untuk mencegah gangguan dari pelayanan atau korupsi sistem dan data. Resiko dan isu-isu pengendalian untuk sistem dan operasi software 1. 1.1 Isu kunci ukuran apa untuk memastikan bahwa hanya mengakui, handal, standar industri, dan secara benar dikonfigurasi system operasi digunakan oleh organisasi? 1.2 Bagaimana manajemen memastikan bahwa system operasi yang bermacammacam secara tepat dikonfigurasi untuk mendukung berjalannya system secara efisien dan aman? 1.3 1.4 1.5 1.6 Ukuran apa untuk mencegah akses yang tidak diijinkan dan perubahan dari system operasi dan software system? Apakah semua upgrade software system dan menetapkan penilaian secara cukup, diuji dan disetujui dahulu untuk aplikasi untuk lingkungan hidup? Bagaimana manajemen mengawasi bahwa efisiensi dan kinerja dari system operasi dioptimalkan? Apakah system dan software operasi memfasilitasi secara efektif, dikonfigurasi dan dibuat sehingga akses yang tidak diijinkan ke data dan system dicegah(atau minimal dideteksi)? 1.7 Prosedur apa untuk memastikan bahwa penyembuhan secara penuh dari kegagalan utama system dapat dicapai dengan segera (kemampuan untuk secara cepat dan tepat membangun kembali lingkungan operasi)? 1.8 Bagaimana manajemen memastikan bahwa ketrampilan staf cukup dan secara tepat tersedia untuk memelihara software operasi operasi dan software system?

1.9

Apakah kejadian tidak normal atau tidak diijinkan dengan segera dan secara independent membawa ke perhatian manajemen untuk tindakan?

1.10 Apakah akses untuk pengguna istimewa memfasilitasi secara cukup dibatasi dan dicoba? 1.11 Apakah manajemen membuat jurnal system operasi secara cukup dan tepat untuk menjaga kesadaran yang akurat dari penggunaan system dan efisiensi operasi? 1.12 Bagaimana Manajemen memastikan bahwa semua komputer personal sepanjang organisasi dikonfigurasi secara tepat dan konsisten? 1.13 Ukuran apakah yang mencegah pengguna dari menerapkan perubahan yang tidak diijinkan dan tidak tepat untuk konfigurasi PC? 2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7 Isu Rinci Bagaimana manajemen memastikan bahwa organisasi menggunakan system operasi yang lebih tepat untuk mendukung syarat mereka? Akankah manajemen dengan segera menjadi sadar dari menggunakan system operasi yang tidak diijinkan dan tidak pantas? Ukuran apa yang mencegah konfigurasi yang tidak tepat atau gangguan dari operasi/software system? Bagaimana fasilitas akses mencerminkan syarat operasi dari organisasi dan melindungi data pemakai? Apakah pembaharuan pencatatan dipelihara yang mana mencerminkan kondisi dan konfigurasi sekarang dan yang diijinkan dari system operasi? Ukuran apa yang mencegah aplikasi yang tidak benar, tidak pantas atau tidak diijinkan amandemen untuk system operasi? Bagaimana manajemen memverifikasi bahwa semua amandemen system operasi diuji dahulu secara penuh dan efektf untuk pembaharuan pada lingkungan hidup? 2.8 2.9 Bagaimana kinerja dari system operasi diawasi (dan akankan proses ini aktif dengan segera mendeteksi masalah potensial)? Siapa yang mempunyai tanggung jawab dan persetujuan untuk mengubah workmix? 2.10 Bagaimana manajemen sadar akan kondisi eror, kejadian abnormal atau menggunakan fasilitas pengguna istimewa?

2.11 Apakah akses untuk perlengkapan dan fasilitas diagnostic secara pantas dibatasi dan dicoba? 2.12 Bagaimana manajemen memeriksa bahwa semua instruksi Job Control Language (JCL) atau System Control Language (SCL) valid, disetujui dan diuji dahulu untuk perkenalan ke lingkungan hidup? 2.13 Ukuran spesifik apa yang mencegah perkenalan dan menggunakan system operasi PC yang tidak diijinkan dan tidak handal? 2.14 Ukuran apa yang mencegah pengguna PC dari memperkenalkan system operasi yang tidak diijinkan oleh rebooting dari disket system yang ditempatkan pada floppy disk drive? 2.15 Akankah pengukuran pada tempat aktif mendeteksi perubahan yang tidak diijinkan untuk system operasi PC? Pemeliharaan Software Kita disini focus pada aplikasi software system dan pemeliharaanya dan perubahannya. Dimana system memiliki peranan kritis dalam operasi bisnis, manajemen akan membutuhkan untuk dijamin bahwa itu dapat melanjutkan operasi dalam tatacara aman dan handal. Dari waktu ke waktu, itu mungkin diperlukan untuk aplikasi perubahan untuk aspek secara fungsional dan operasional dari program, dan untuk integritas keseluruhan dari system untuk dipelihara, seperti modifikasi akan membutuhkan diaplikasikan dengan mahir dan diuji terlebih dahulu untu digunakan. Aplikasi dari perubahan software dan pembaharuan dapat dikerjakan oleh staf pengembangan system perusahaan, atau oleh perusahaan software eksternal dimana standar off-the Shelf system aplikasi yang bersangkutan. Tujuan Pengendalian untuk Pemeliharaan Software 1. Untuk memastikan bahwa sistem dipelihara secara mampu untuk memperkenalkan kegunaan hidup mereka dan terus-menerus melayani bisnis. 2. Untuk memastikan bahwa semua perubahan sistem dibenarkan dan disetujui 3. Untuk memastikan bahwa perubahan sistem secara keseluruhan dan secara independen diuji lebih dahulu sehingga diaplikasikan secara benar pada lingkungan hidup. 4. Untuk memastikan bahwa hanya perubahan yang disetujui dan diuji yang diaplikasikan. 5. Untuk memastikan bahwa sistem secara cukup didokumentasikan sehingga mereka dapat dipelihara secara efektif.

6. Untuk memastikan bahwa bermacam-macam versi program secara akurat diidentifikasi sehingga hanya versi yang disetujui yang digunakan. 7. Untuk memastikan bahwa dokumentasi sistem secara tepat diperbaharui mengikuti perubahan software. 8. Untuk memastikan kelangsungan hidup program secara tepat dipisah dari pengembangan dan perpindahan antara kehidupan dan pengembangan. 9. Untuk memastikan bahwa kelangsungan penyimpanan program hanya isi yang valid dan versi yang disetujui dari program sekarang. 10. Untuk memastikan bahwa software aplikasi komputer personal secara benar diperbaharui dengan upgrade dan perbaikan secara resmi. 11. Untuk memastikan bahwa fasilitas ditempatkann untuk perjanjian secara efektif dengan perbaikan program darurat. Risiko dan isu-isu pengendalian untuk pemeliharaan software 1. 1.1 1.2 1.3 Isu Kunci Apakah seluruh dokumen sistem utama didefinisikan sesuai standar sehingga dapat memastikan bahwa mereka dapat memelihara dengan efektif? Langkah apa untuk memastikan bahwa perubahan software didefinisikan dengan akurat memenuhi syarat yang telah disetujui? Langkah apa untuk memastikan untuk semua perubahan dan pemeriksaan software dilakukan secara penuh dan pengujian yang memuaskan sebelum dikenalkan untuk digunakan? 1.4 1.5 1.6 1.7 1.8 1.9 Apakah seluruh perubahan software dikodekan dengan tepat dan sah sesuai dengan tujuan? Prosedur apa untuk memastikan bahwa program yang digunakan di lingkungan produksi telah disetujui dan sesuai versi saat ini? Ukuran apa untuk memastikan bahwa seluruh perubahan sesuai dengan spesifikasi dan dokumen untuk keperluan standar? Mekanisme apa untuk memastikan kelangsungan program dan pengembangan dipisah secara tepat? Pemeriksaan apa yang pada tempat untuk mengawasi kevalidan dari dari daftar hidup dan kumpulan program produksi? Prosedur apa untuk memastikan bahwa komputer personal diperbaharui dengan benar dan software diupgrade dengan pasti dan tepat?

1.10 Apakah manajemen telah mendorong atau mendukung rutinitas secara efektif ke perjanjian darurat (diluar jam rutinitas. Program merubah sistem jeopardising/operasi bisnis? 2. 2.1 Isu detail Mekanisme apa untuk memastikan bahwa semua sistem telah disokumentasikan dengan tepat dan bahwa dokumen telah diperbaharui ketika sustu perubahan diaplikasikan? 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 Pengaturan apa untuk memastikan bahwa perubahan software yang dianjurkan tepat untuk memuaskan pengguna? Pengukuran apa yang spesifik mencegah aplikasi yang tidak disetujui atau tidak valid untuk kehidupan lingkungan? Bukti-bukti apa yang disokumentasi untuk menguji kekomprehensifan software? Pengukuran apa untuk memastikan bahwa fungsi tambahan tidak sesuai dalam penetapan software? Bagaimana manajemen memastikan bahwa semua pemrograman telah dilakukan sesuai dengan praktik terbaik dan standar yang dibutuhkan? Apakah isi dari variasi program telah dicek secara berkala untuk memastikan bahwa hanya item yang valid yang dipertahankan? Pengukuran apa untuk mencegah tranfer program yang tidak disetujui antara pengembangan dan kelangsungan perpustakaan program? Bagaimana pengujian program dan perubahan didefinisikan (dan apa mencegah program yang tidak efektif atau tingkat ketidakcukupan pengujian)? 2.10 Bagaimana manajemen memastikan bahwa versi aplikasi komputer personal digunakan organisasi seluruhnya dengan konsisten (contoh versi yang tidak valid atau kadaluarsa diidentifikasi dengan segera)?

Database Bagian ini berkaitan dengan penggunaan teknik-teknik database untuk mendukung bisnis. Banyak analisis sistem formal dan teknik pengembangan dibangun sekitar pendekatan berbasis data, di mana kebutuhan informasi organisasi yang relevan secara akurat ditetapkan

sebagai landasan untuk pengembangan dan pengoperasian semua sistem bisnis terkait. Biasanya, pendekatan data ditandai oleh data dan teknik pemodelan database, yang bertujuan untuk mengurangi (atau menghilangkan) contoh data duplikasi dan redundansi melalui penciptaan database relasional. Dari sudut pandang manajemen, penting bahwa struktur data yang dipilih dan sistem manajemen database yang digunakan untuk menampung dan memanipulasi informasi, aman, handal, dan memberikan informasi yang akurat untuk mendukung kebutuhan bisnis. Tujuan Pengendalian untuk Database 1. Untuk memastikan bahwa kebutuhan informasi dari sebuah organisasi secara tepat dicerminkan dan ditujukan pada struktur data. 2. Untuk memastikan bahwa system database yang lebih pantas, handal, aman dan fleksibel dibuat. 3. Untuk memastikan bahwa pengguna memiliki konsep dari kepemilikan system dan data. 4. Untuk memastikan bahwa data secara cukup dilindungi dari akses, perubahan, penggunaan dan kebocoran yang tidak diijinkan. 5. Untuk memastikan bahwa system database dan isi data secara akurat disediakan dan dipelihara. 6. Untuk memastikan bahwa integritas dari pemeliharaan database berjalan terus. 7. Untuk memastikan bahwa semua perubahan kemudian untuk bentuk dan struktur database valid dan disetujui. 8. Untuk memastikan bahwa ketrampilan staf secara cukup tersedia untuk mendukung operasi dan pemeliharaan database. 9. Untuk memastikan bahwa database lenting dan dapat dengan segera dan secara penuh menyembuhkan pada kejadian kegagalan utama atau musibah. 10. Untuk memastikan bahwa data secara regular dan secara tepat di back up untuk melindungi operasi bisnis. 11. Untuk memastikan bahwa pengguna secara tepat dilatih dalam menggunakan fasilitas database bawahan (seperti bahasa query) sehingga mereka secara efektif dan efisien digunakan. 12. Untuk memastikan bahwa semua pengembangan dan perubahan system secara penuh mengambil kedalam perhitungan implikasi untuk system dan struktur database. 13. Untuk menghindari memegang dan memproses penduplikatan atau data mubazir.

Risiko dan isu-isu pengendalian untuk database 1. 1.1 Isu Kunci Bagaimana manajemen menjamin bahwa kebutuhan organisasi akan data telah secara akurat diidentifikasi dan direfleksikan pada sistem dan database sekarang ? 1.2 1.3 1.4 1.5 Bagaimana manajemen menjamin bahwa ketepatan, penjagaan, kehandalah dan fleksibilitas sistem database manajemen ditempatkan dan dijaga? Bagaimana manajemen dapat menilai pengendalian telah dilatih pada keseluruhan sistem dan kepemilikan data dan penentuan akses tepat? Bagaimana data diproteksi dari akses yang tidak diotorisasi dan diamandemen? Ukuran apa yang menjamin bahwa pengesetan awal dari struktur database ialah relevan, akurat dan merefleksikan persyaratan persetujuan data korporat? 1.6 1.7 Bagaimana kelanjutan dari integritas dari struktur database dan penilaian konten? Apakah semua amandemen selanjutnya untuk struktur database dan subjek konten untuk diotorisasi dan ukuran apa yang mencegah tidak diotorisasinya amandemen struktural? 1.8 Langkah apa yang diambil manajemen untuk menjamin bahwa kecukupan keahlian karyawan telah memadai untuk mendukung operasi dan maintanance database? 1.9 Ukuran spesifik apa yang menjamin bahwa database dapat ditepati dan secara akurat membangun kembali kejadian dari kesalahan mayoritas? 1.10 Apakah kecukupan dan back up database yang efektif telah dilakukan? 1.11 Bagaimana manajemen menjamin bahwa bahasa query itu efisien dan digunakan secara tepat? 1.12 Ukuran apa yang menjamin bahwa semua pengembangan sistem dan amandemen sesuai dengan struktur yang disetujui dan konten dari sistem database? 2. 2.1 Isu rinci Apakah struktur data yang disyaratkan telah didokumentasikan dan diotorisasi secara formal?

2.2 2.3

Ukuran apa yang ditempatkan untuk mencegah pemegangan (dan pemrosesan) dara mubazir atau item data diduplikasi? Bagaimana manajemen memverifikasi bahwa pemasok database yang terpilih ialah stabil, handal dan capable dalam menyediakan dukungan terus menerus?

2.4 2.5 2.6 2.7 2.8 2.9

Apakah sistem database manajemen yang terpilih sesuai dengan standar industri yang diakui? Apakah kapasitas dan fleksibilitas dari sistem database telah dinilai dengan terang untuk mengantisipasi pertumbuhan? Apakah pemilik pengguna/sistem memiliki tanggung jawab untuk mendifinisikan dan mengotorisasi akses dengan benar? Bagaimana manajemen memonitor ketepatan data akses dan sistem telah secara akurat diperbaharui? Apakah prosedur pembangunan kembali database disubjekan pada periode pengetesan sebagai arti dari penilaian efektivitasnya? Apakah database telah di back up pada frekuensi yang tepat? aktivitas tidak biasa database lainnya?

2.10 Bagaimana manajemen mewaspadai kerusakan pengaturan akses atau