My Blog

PERBANDINGAN FRAMEWORK AUDITI TI

“ITAF, ISO 17799, IS0 15408/ITSEC”

ANGGOTA KELOMPOK 5 :

ANAS SETIAWAN 10116747

DAMA YUSUF E 11116669

RIZKY BAGJA M 16116560

FAKULTAS TEKNOLOGI INFORMASI & KOMUNIKASI

UNIVERSITAS GUNADARMA

2019/2020

ITAF (Information Technology Assurance Framework)

· Pengenalan ITAF

ITAF merupakan produk dari Information System Audit and Control Association (ISACA) yang menyediakan sebuah kerangka tunggal yang berisi standar, pedoman (Guidelines) dan teknik dalam melaksanakan audit dan assurance termasuk di dalamnya perencanaan, lingkup audit, pelaksanaan dan pelaporan audit dan jasa assurance TI.

· Tiga Standar Bagian ITAF

1. Standar Umum (1000 series) -Apakah prinsip-prinsip di mana profesi jaminan IS beroperasi. Mereka berlaku untuk pelaksanaan semua tugas, dan berurusan dengan audit IS dan jaminan profesional etika, independensi, objektivitas dan hati-hati serta pengetahuan, kompetensi dan keterampilan.

2. Standar kinerja (1200 series) -Deal dengan pelaksanaan tugas, seperti perencanaan dan pengawasan, scoping, risiko dan materialitas, mobilisasi sumber daya, pengawasan dan tugas manajemen, audit dan bukti jaminan, dan berolahraga profesional penghakiman dan perawatan karena

3. Standar Pelaporan (1400 series) -Address jenis laporan, berarti komunikasi dan informasi yang dikomunikasikan ITAF IS pedoman audit dan jaminan menyediakan audit IS dan jaminan profesional dengan informasi dan arah tentang audit IS atau daerah jaminan. Sejalan dengan tiga kategori standar yang diuraikan di atas, pedoman fokus pada berbagai pemeriksaan pendekatan, metodologi dan materi yang terkait untuk membantu dalam perencanaan, pelaksanaan, menilai, menguji dan melaporkan IS proses, kontrol dan terkait IS audit atau jaminan inisiatif. Pedoman juga membantu memperjelas hubungan antara kegiatan perusahaan dan inisiatif, dan orang-orang yang dilakukan oleh IT.

· Kentungan Menggunakan Model ITAF :

1. ITAF lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT, ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.

2. ITAF didesain untuk profesional yang bergerak di bidang jasa audit atau assurance sehingga cocok diterapkan oleh lembaga

3. Prosedur, metode dan istilah-istilah dalam ITAF lebih familiar, mudahdimengerti dan diterapkan oleh auditor.

ISO 17799

· Pengertian ISO 17799

ISO 17799 adalah standar lama yang digunakan untuk keamanan informasi yang diadopsi oleh International Organization for Standardization (ISO) pada tahun 2000. Standar ini bersumber dari British Standard yang dikenal sebagai BS7799 yang berisi praktik terbaik tentang kerahasiaan, integritas, dan ketersediaan informasi dalam sebuah organisasi. Secara resmi dikenal sebagai ISO/IEC 17799, standar ini dimaksudkan untuk memandu personil manajemen informasi yang bertugas membuat sistem keamanan. Topik dalam ISO 17799 meliputi definisi istilah keamanan informasi, mengklasifikasi jenis informasi, menguraikan persyaratan minimum, dan menyarankan respon yang sesuai untuk pelanggaran keamanan. Pada tahun 2005, kemajuan teknologi mengharuskan revisi ISO 17799 untuk menyelaraskan dengan praktik dan kemajuan yang berlaku saat itu. Hal yang umum bagi standar ISO untuk mengalami perbaikan setiap beberapa tahun untuk memastikan pedoman, kode praktek, dan standar yang relevan dan mencerminkan teknologi dan filosofi bisnis internasional terkini. Sebagai hasil dari revisi tahun 2005, ISO 17799 dikenal sebagai ISO/IEC 17799:2005. Untuk membantu membedakan antara berbagai versi ISO 17799, standar asli dikenal sebagai ISO/IEC 17799:2000. Pada tahun 2007, ISO dan International Electrotechnical Commission (IEC) mengubah penomoran ISO 17799 menjadi ISO/IEC 27002. Sering dirujuk sebagai ISMS Family of Standards, Seri ISO 27000 sepenuhnya berkaitan dengan Sistem Manajemen Keamanan Informasi (Information Security Management Systems atau ISMS). Penomoran ulang ISO 17799 memungkinkan ISO/IEC untuk mengelompokkan berbagai standar keamanan masa depan ke dalam kategori yang mudah dirujuk.

· Tujuan

a) memeberikan rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggungjawab dalam inisiasi, implementasi, atau mengelola keamanan informasi pada organisasinya. ISO 17799 Merupakan standar keamanan internasional manajemen yang pertama kali diterapkan

b) untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya, ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).

· Keuntungan ISO 17799

Keuntungan utama dari BS7799/ISO17799 adalah :

a) Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan.

b) Manajemen kebijakan terpusat dan prosedur.

c) Menjamin layanan informasi yang tepat guna.

d) Mengurangi biaya manajemen,

e) Dokumentasi yang lengkap atas segala perubahan/revisi.

f) Suatu metoda untuk menentukan target dan mengusulkan peningkatan.

g) Basis untuk standard keamanan informasi internal perusahaan

ISO 15408 / ITSEC

· Definisi

Standar Internasional ISO 15408-1 disiapkan oleh Komite Teknis Bersama ISO / IEC JTC 1, Teknologi informasi, bekerja sama dengan Organisasi Sponsor Proyek Kriteria Umum. Teks identik ISO / IEC 15408-1 diterbitkan oleh Organisasi Sponsor Proyek Kriteria Umum sebagai Kriteria Umum untuk Evaluasi Keamanan Teknologi Informasi. ISO / IEC 15408-1: 2009 menetapkan konsep dan prinsip umum evaluasi keamanan TI dan menetapkan model umum evaluasi yang diberikan oleh berbagai bagian ISO / IEC 15408 yang secara keseluruhan dimaksudkan untuk digunakan sebagai dasar untuk evaluasi keamanan dan sifat produk IT. Kerangka kerja ini menyediakan model Perlindungan Profil (PPs) - dokumen yang mengidentifikasi persyaratan keamanan untuk berbagai perangkat keamanan tertentu - untuk membantu pengguna komputer menentukan persyaratan keamanan mereka memungkinkan pengecer komputer untuk menerapkan atribut keamanan yang sesuai dan memadai. Atribut-atribut ini kemudian dapat secara resmi diuji dan dievaluasi untuk memvalidasi kepatuhan dengan semua persyaratan yang berlaku.

· Keuntungan menggunakan model ISO 15480 / ITSEC

a) Mempertimbangkan faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian kebenaran dan efektivitas

b) Fungsi mengacu menegakkan fungsi target keamanan

c) Kebenaran menilai tingkat di mana fungsi keamanan yang dapat atau tidak dapat ditegakkan

d) Efektivitas melibatkan penilaian kesesuaian target fungsi evaluasi, pengikatan fungsi, konsekuensi dari kerentanan diketahui dan kemudahan penggunaan

· Kebijakan

Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen resiko atau kepatuhan terhadap tolak ukur maupun tidak , suatu kebijakan keamanan harus di terapkan untuk mengarahkan keseluruhan program. Perusahan dapat menerapkan kebijakan keamanan dengan mengikuti pendekatan yang bertahap:

• Fase 1- Ini siasi proyek.

• Fase 2- Penyusunan kebijakan

• Fase 3- Konsultasi dan persetujuan

• Fase 4- Kesadaran dan edukasi

• Fase 5-Penyebarluasan kebijakan

TEORI PERBANDINGAN

ITAF, ISO 17799, IS0 15408/ITSEC

· Dari Segi Fungsi

1. ITAF

Framework Praktek Profesional Audit

2. ISO 17799

Standard untuk mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi

3. ISO 15408

Standart untuk persyaratan keamanan fungsional yang disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran Keamanan (Security Target/ST).

· Penerbit

1. ITAF

ISACA

2. ISO 17799

Institut Standard Britania (BSI)

3. ISO 15408

Organisasi Sponsor Proyek Kriteria Umum

· Pelaksanaan

1. ITAF

Mencari bimbingan, kebijakan dan prosedur penelitian, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif

2. ISO 17799

Memberikan secara komprehensif alat pengendalian berisikan praktek terbaik dalam keamanan informasi.