Tuesday 22 March 2011

Cobit, IT IL dan ISO 17799


COBIT, untuk orang yang berlatar belakang IT atau auditor IT sudah tidak asing lagi didengar. Control Objectives for Information and related Technology (COBIT) adalah suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

  • Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

  • Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

  • Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

  • Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.

  • Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

  • Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

  • Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:

  • Applications
  • Information
  • Infrastructure
  • People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:

Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring .

Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:

  • Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
  • Apa saja indikator untuk suatu kinerja yang bagus?
  • Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
  • Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
  • Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
  • Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.

The COBIT Framework memasukkan juga hal-hal berikut ini:

  • Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
  • Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
  • Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
  • Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).

Sedang, COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.

Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI.

Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.

ITIL (Information Technology Infrastructure Library)

Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC). Delapan serial buku ITIL tersebut terdiri atas:

    • Software Asset Management
    • Service Support
    • Service Delivery
    • Planning to Implement Service Management
    • ICT Infrastructure Management
    • Application Management
    • Security Management
    • Business Perspective

British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan dalam penetapan sertifikasi. Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:

    • Foundation certificate

Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan yang ada.

    • Practitioner’s certificate

Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja (spesialisasi).

    • Manager’s certificate

Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model.

Terdapat 2 komponen operasional ITIL yaitu :

  1. Service Support (yaitu aktifitas yang dilaksanakan minimal setiap hari)
  2. Service Delivery (yaitu aktivitas yang dilaksanakan minimal setahun/kuartal/bulanan)

SERVICE SUPPORT

The Service Desk

Tujuan :

    1. Untuk melaksanakan single point of contact antara User dan IT Service Management dan memeriksa status hubungan semua customer.
    2. Menangani Incidents dan permintaan, serta memberikan arahan untuk kegiatan lain seperti Change, Problem, Configuration, Release, Service Level, and IT Service Continuity Management

Kegiatan :

  1. Menerima dan merekam semua panggilan dari user.
  2. Memberikan first-line support (menggunakan pengetahuan)
  3. Mengacu kepada second-line support bila diperlukan.
  4. Monitoring dan peningkatan peningkatan bahaya-bahaya yang terjadi.
  5. Menjaga informasi user.
  6. Memberikan ruang antara disiplin ITSM.
  7. Memberikan pengukuran dan metrik

Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:

    • Effectiveness
    • Efficiency
    • Confidentiality
    • Integrity
    • Availability
    • Compliance

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik dengan COBIT.

ISO/IEC 17799:2005 Code of Practice for Information Security Management

ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja. Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005. Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi. Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2). Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability. Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan pada infrastructure.

6 comments:

  1. Artikel nya bagus mas , kira2 apa kelebihan dari standar cobit d banding kan dengan standar iso 27001 ya mas??

    ReplyDelete
  2. cobit 4.1, ITIL V3 dan ISO 27001 itu bedanya apa ya mas...

    salam blogger

    ReplyDelete
  3. mas 2 di atas kok masi tanya bedanya apa
    trs kelebihanx apa
    mas baca dlu semua disana sudah jelas kok mas asl mas mengerti isi dri artikel di atas

    @ admin trims sangat membantu saya dlm mengerjakan Tesis saya

    ReplyDelete
  4. Terimakasih ya informasinya ...

    ReplyDelete
  5. bagus nih artikelnya.. yang pasti bermanfaat.. terimakasih

    ReplyDelete
  6. info yang sangat bermanfaat untuk anak-anak IT dan semuaa...........

    ReplyDelete

Berikanlah Komentar, saran dan Kritik yang membangun "

Tips Untuk Orangtua Anak Indigo

bersikap jujur , berikanlah penjelasan lengkap sebanyak  ungkin untuk kedewasaan dan intelegensi mereka. jangan berbohong, berbohong ter...