·
Prosedur IT
Audit
Prosedur
yang dilakukan dalam IT Audit terdiri dari beberapa tahapan. Tahapan – tahapan tersebut
antara lain sebagai berikut:
1. Tahapan
Perencanaan.
Sebagai
suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang
akan diperiksa sehingga menghasilkan suatu program audit yang didesain
sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan
resiko dan kendali.
Tahap ini
untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek
SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
3. Evaluasi
Mengevaluasi
kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
4. Dokumentasi
Mendokumentasikan
dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
5. Laporan
Menyusun
laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.
Dalam
prosedur IT audit terdapat tiga kontrol terhadap lingkungan, keamanan fisik dan
keaman logikal. Prosedurnya sebagai berikut ini:
1. Kontrol
lingkungan:
a. Apakah
kebijakan keamanan (security policy) memadai dan efektif?
b. Jika data
dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedural yang
terikini dari external auditor.
c. Jika sistem
dibeli dari vendor, periksa kestabilan finansial.
d. Memeriksa
persetujuan lisensi (license agreement).
2. Kontrol
keamanan fisik:
a. Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai.
b. Periksa
apakah backup administrator keamanan sudah memadai (trained, tested).
c. Periksa
apakah rencana kelanjutan bisnis memadai dan efektif.
d. Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai.
3. Kontrol
keamanan logikal:
a. Periksa
apakah password memadai dan perubahannya dilakukan reguler.
b. Apakah
administrator keamanan memprint akses kontrol setiap user.
·
Contoh IT
Audit
1. Internal IT
Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan
Fokus kepada global, menuju ke standard2 yang diakui.
2. External IT
Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices.
.
·
Metodologi
IT Audit
Salah satu
contoh metodologi dalam IT Audit adalah BSI (Bundesamt für Sicherheit in der
Informationstechnik) dan IT Baseline Protection Manual (IT- Grundschutzhandbuch)
yang dikembangkan oleh GISA: German Information Security Agency. Metodologi
tersebut digunakan untuk mngevaluasi konsep keamanan & manual yang memiliki
karakteristik sebagai berikut:
1. Metodologi
evaluasi tidak dijelaskan
2. Mudah
digunakan dan sangat detail sekali
3. Tidak cocok
untuk analisis resiko
4. Representasi
tidak dalam grafik yg mudah dibaca
·
Tools IT Audit
dan Audit Forensik
1. Hardware:
a. Harddisk
IDE & SCSI
b. Memori RAM
c. Hub, Switch
dan keperluan LAN
d. Legacy
Hardware (8088s, Amiga)
e. Laptop
forensic workstations
2. Software:
a. Viewers
(QVP)
b. Erase /
Unerase Tools (Diskscrub/Norton Utilities)
c. Hash
utility (MD5, SHA1)
d. Text Search
Utilities (http://www.dtsearch.com/)
e. Drive
Imaging Utilities (Ghost, Snapback, Safeback)
f.
Forensic Toolkits. (TCT The Coroners Toolkit, Forensic
Toolkit)
g. Disk Editors
(Winhex)
h. Forensic
Acquisition Tools (DriveSpy, EnCase, Safeback, SnapCopy)
i.
Write-blocking Tools (FastBloc)
·
Lembar
Kerja IT Audit
Salah satu
contoh dari Lembar Kerja Audit adalah Lembar Kerja Pemeriksaan dengan metode Through
The Computer. Berikut ini merupakan lembar kerja IT Audit dengan metode Through
The Computer.
Apakah kebijaksanaan pengamanan
penggunaan aplikasi telah memperhatikan prinsip - prinsip umum kontrol aplikasi
yang meliputi:
1. Pemisahaan
tugas antara pengguna, operasi dan pengembangan? (Y/T)
2. Penggunaan hanya
yang berwenang? (Y/T)
3. Menjamin data
telah divalidasi? (Y/T)
4. Menjamin data
yang ditransfer benar dan lengkap? (Y/T)
5. Tersedianya
jejak audit yang memadai serta penelaahan oleh pihak yang berwenang? (Y/T)
6. Tersedianya
prosedur restart dan recovery? (Y/T)
Sumber:
·
https://freezcha.wordpress.com/2011/03/20/it-audit-dan-it-forensik-1/
·
http://gunrave.blogspot.com/2011/03/contoh-prosedur-dan-lembar-kerja-it.html
·
http://gid3on.blogspot.com/2013/03/prosedurnya-dan-lembar-kerja-it-audit.html
Tidak ada komentar:
Posting Komentar