Prosedur Audit
Didalam audit terdapat beberapa hal yang harus dikontrol diantaranya :
PROSEDUR IT AUDIT:
●Kontrol lingkungan:
- Apakah kebijakan keamanan (security policy) memadai dan efektif ?
- Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
- Jika sistem dibeli dari vendor, periksa kestabilan finansial
- Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
- Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
- Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
- Periksa apakah rencana kelanjutan bisnis memadai dan efektif
- Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
- Periksa apakah password memadai dan perubahannya dilakukan reguler
- Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
CONTOH METODOLOGI AUDIT IT
BSI (Bundesamt für Sicherheit in der Informationstechnik)
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
Lembar Kerja Audit
Lembar Kerja Pemeriksaan Through The Computer
- Apakah kebijaksanaan pengamanan penggunaan aplikasi telah memperhatikan prinsip-prinsip umum kontrol aplikasi yang meliputi :
- Pemisahaan tugas …antara … pengguna, operasi, dan pengembangan Y/T
- Penggunaan … hanya …. yang berwenang Y/T
- Menjamin …. data … telah divalidasi Y/T
- Menjamin … data yang ditransfer benar dan lengkap Y/T
- Tersedianya jejak audit yang memadai serta penelaahan oleh pihak yang berwenang Y/T
- Tersedianya prosedur restart dan recovery Y/T
Target Pemeriksaan
Contoh :
- Input Control ?
- Processing Control ?
- Error Correction ?
- Output Control ?
- End Documentation ?
- Authorization ?
- Security ?
- Separation of Duties ?
- File Maintenance ?
Sumber :
http://adedirgasaputra.blogspot.com/2010/04/it-forensik.html
Leave a comment