Audit Keamanan Sistem Informasi

Audit Keamanan Sistem Informasi

Manajemen keamanan sistem informasi terdiri dari strategi dan pembagian tanggung jawab dalam menurunkan resiko yang menjadi ancaman terhadap organisasi perusahaan. Kerangka kerja manajemen keamanan informasi memiliki tahapan proses yaitu dari membuat tahapan persiapan,identifikasi aset, kebijakan dan dokumen pengelolaan keamanan informasi, operasional Teknologi Informasi (TI), jaringan komunikasi, pengamanan informasi.

Rencana Keamanan Berbasis Analisis Resiko

Jika tidak berdasarkan hasil analisis resiko, akan menyebabkan lemahnya strategi dalam melaksanakan antisipasi terhadap ancaman, gangguan, dan serangan terhadap aset sistem informasi. Dalam penyusunan rencana keamanan seharusnya didasari oleh hasil analisis dan mitigasi resiko, agar strategi keamanan yang diusulkan dapat secara efektif menurunkan risiko yang telah diidentifikasi.

Perusahaan perbankan atau sejenisnya seperti financial technology (fintech) diwajibkan untuk melaksanakan kegiatan audit keamanan sistem informasi untuk memastikan keamanan proses bisnis dan transaksi yang terjadi di perusahaan tsb. Pelaksanaan kegiatan tersebut dilakukan secara berkala setiap 3 tahun sekali. Di mana laporan audit ini harus diserahkan ke Bank Indonesia bersamaan dengan laporan lain yang juga dipersyaratkan.

Standarisasi atau Framework Audit Sistem Keamanan Informasi

Standar yang digunakan dalam audit sistem keamanan informasi bisa bermacam-macam, ada ISO 27001 atau bisa pula dengan COBIT 5 dengan fokus pada domain dan IT Goals yang berkaitan dengan keamanan sistem informasi. Karena kebutuhan Audit Keamanan Sistem Informasi sangat fleksibel tergantung pada kebutuhan organisasi yang dikembangkan dan fokus domainnya.

Hasil penelitian menunjukkan bahwa kerangka kerja atau standarisasi memiliki kemampuan mendeskripsikan secara komprehensif dengan melibatkan partisipasi seluruh penanggungjawab TI dalam mengevaluasi kelemahan dari sisi teknologi dan kebijakkan, serta mampu memberikan dukungan kelanjutan proses bisnis dalam rangka antisipasi ancaman dan kelemahan yang terus berkembang sampai saat ini.

Definisi Audit Sistem Informasi sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.

Audit Keamanan Sistem Informasi di Perbankan

Dalam hal kewajiban pelaksanaan audit keamanan sistem informasi yang dipersyaratkan oleh Bank Indonesia kepada institusi perbankan atau perusahaan fintech di Indonesia, tak ada ketentuan khusus atau keharusan untuk menggunakan standarisasi atau framework tertentu, yang penting ruang lingkup yang diperyaratkan oleh BI tercakup semua. Oleh karena itu, baik ISO 27001 ataupun COBIT 5 dapat digunakan sebagai perangkat untuk melakukan Audit Keamanan Sistem Informasi dengan melakukan penyesuaian ruang lingkup sesuai syarat BI dan penyesuain domain pada standarisasi atau kerangka kerja yang digunakan.

Informasi merupakan aset yang paling penting untuk dilindungi dan diamankan. Rencana keamanan informasi merupakan susunan strategi yang harus diterapkan untuk mengurangi kelemahan dan menurunkan potensial resiko yang sedang berjalan yaitu dengan proses merendahkan resiko dan melakukan evaluasi dan kontrol.

Ruang Lingkup Audit Keamanan Sistem Informasi BI

Bagi perusahaan perbankan atau financial technology, ruang lingkup audit -menurut ketentuan Bank Indonesia- paling kurang meliputi pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan sebagai berikut:

  1. Adanya sistem keamanan teknologi yang dilakukan secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan yang berlaku, yang paling kurang memenuhi prinsip-prinsip:
    • Kerahasiaan data
    • Integritas sistem dan data
    • Dua faktor otentifikasi sistem dan data.
    • Pencegahan terjadinya penyangkalan transaksi yang telah dilakukan
    • Ketersediaan sistem.
  2. Cakupan security audit paling kurang meliputi aspek teknologi informasi dan aspek bisnis;
  3. adanya sistem dan prosedur untuk melakukan audit trail;
  4. adanya kebijakan dan prosedur internal untuk sistem dan Sumber Daya Manusia (SDM);
  5. adanya business continuity plan (BCP) yang dapat menjamin kelangsungan penyelenggaraan Uang Elektronik. BCP tersebut meliputi tindakan preventif maupun contingency plan (termasuk penyediaan sarana back-up) jika terjadi kondisi darurat atau gangguan yang mengakibatkan sistem utama penyelenggaraan Uang Elektronik tidak dapat digunakan.
  6. Audit teknologi informasi tersebut meliputi pula pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan terhadap keamanan dan keandalan sistem atau jaringan pemohon yang digunakan oleh pihak lain.

Cakupan audit tsb dapat tercover baik oleh Standar ISO 27001 maupun COBIT 5. Jadi terserah mau menggunakan kerangka atau standarisasi apapun, keduanya bisa digunakan. Khusus COBIT perlu ada penyesuaian dari cakupan domainnya saja, domainnya diperkecil sesuai dengan fokus perusahaannya yang terletak pada keamanan sistem informasi.

Kontak Kami

Email : sales@netsolution.co.id. Telp : 021-47884169

++++++

Pariwara : portofolio proyek, training komputer jakarta, kursus komputer jakarta, informasi training dan kursus, training cisco academy.