Search This Blog

Monday, August 1, 2011

IT Audit Standard

IT Audit Standard Tools/Framework (Bagian I-V)

**www.setiabudi.name
Sebenarnya dalam melaksanakan IT/IS Audit terdapat berbagai tools yang sudah siap digunakan saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.
Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang semakin baik, efektif dan efisien.
Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:
  1. COBIT® (Control Objectives for Information and related Technology)
  2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework
  3. ISO/IEC 17799:2005 Code of Practice for Information Security Management
  4. FIPS PUB 200
  5. ISO/IEC TR 13335
  6. ISO/IEC 15408:2005/Common Criteria/ITSEC
  7. PRINCE2
  8. PMBOK
  9. TickIT
  10. CMMI
  11. TOGAF 8.1
  12. IT Baseline Protection Manual
  13. NIST 800-14

  1. COBIT® (Control Objectives for Information and related Technology)
  2. Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007. COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance. Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan oleh ISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®) dan Certified Information Security Manager® (CISM®). Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
    • Effectiveness
    • Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
    • Efficiency
    • Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
    • Confidentiality
    • Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
    • Integrity
    • Menitikberatkan pada integritas data/informasi dalam sistem.
    • Availability
    • Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
    • Compliance
    • Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
    • Reliability
    • Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
    Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
    • Applications
    • Information
    • Infrastructure
    • People
    Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.
  3. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework
  4. COSO adalah organisasi swasta yang menyusun Internal Control – Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif. Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul. Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini. Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal Control – Integrated Framework COSO adalah:
    • Effectiveness
    • Efficiency
    • Confidentiality
    • Integrity
    • Availability
    • Compliance
    • Reliability
    Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control – Integrated Framework COSO identik dengan COBIT. Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik dengan COBIT.
  5. ITIL (Information Technology Infrastructure Library)
  6. Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC). Delapan serial buku ITIL tersebut terdiri atas:
    • Software Asset Management
    • Service Support
    • Service Delivery
    • Planning to Implement Service Management
    • ICT Infrastructure Management
    • Application Management
    • Security Management
    • Business Perspective
    British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan dalam penetapan sertifikasi. Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000. Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:
    • Foundation certificate
    • Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan yang ada.
    • Practitioner’s certificate
    • Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja (spesialisasi).
    • Manager’s certificate
    • Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model uraian.
    Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:
    • Effectiveness
    • Efficiency
    • Confidentiality
    • Integrity
    • Availability
    • Compliance
    • Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam COBIT.
    Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik dengan COBIT.
  7. ISO/IEC 17799:2005 Code of Practice for Information Security Management
  8. ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi. Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja. Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005. Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali. Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi. Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2). Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability. Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan pada infrastructure.
DAFTAR PUSTAKA
  1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality Management System Construction and
    Certification
    , UK, 1994
  2. British Office of Government Commerce (OCG), [formerly the Central Computer and Telecommunications Agency (CCTA)],
    IT Infrastructure Library (ITIL)
    , UK, 1989
  3. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002, 2005
  4. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software Quality Management Systems Construction,
    Certification and Continued Improvement, UK, 2001
  5. Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal Control – Integrated Framework, USA, 1992
  6. Computer Security Division of the National Institute of Standards and Technology, Minimum Security Requirements for Federal
    Information and Information Systems (FIPS PUB 200)
    , Department of Commerce, USA, March 2006,
  7. Computer Security Resource Center of the National Institute of Standards and Technology, An Introduction to Computer Security:
    The NIST Handbook, Special Publication 800-12
    , Department of Commerce, USA, 1995
  8. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
    for Securing Information Technology Systems
    , Special Publication 800-14, Department of Commerce, USA, 1996
  9. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology Security Evaluation 2.0, 1999
  10. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
    International Organisation for Standardisation, Code of Practice for Information Security Management, ISO/IEC 17799,
    Switzerland, 2005
  11. International Organisation for Standardisation, Information Technology ”Guidelines for the Management of IT Security,
    ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
  12. International Organisation for Standardisation, Quality Management and Quality Assurance Standards – Part 3: Guidelines for the
    Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of Computer Software
    , ISO 9000-3,
    Switzerland, 1991
  13. International Organisation for Standardisation, Quality Management Systems, ISO 9001, Switzerland, 2000
  14. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT Security, ISO/IEC 15408, Switzerland,
    2005
  15. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
  16. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
  17. IT Governance Institute, COBIT 4.0, USA, 2005
  18. IT Governance Institute, COBIT 4.1, USA, 2007
  19. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon University,
    Software Engineering Institute, USA, 1993
  20. Project Management Institute, A Guide to the Project Management Body of Knowledge (PMBOK), 3rd Edition, 2004
  21. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model Integration (CMMI), USA, 2002
  22. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003
Melanjutkan topik sebelumnya tentang IT Audit Standard Tools/Framework pada bagian ini akan dibahas tentang standar lainnya yang terdiri atas:
  1. FIPS PUB 200
  2. ISO/IEC TR 13335

  1. FIPS PUB 200
  2. The Federal Information Processing Standards (FIPS) Publication 200 Minimum Security Requirements for Federal Information and Information Systems merupakan standar nasional di Amerika Serikat yang pertama diterbitkan pada bulan Maret 2006. Standar ini diterbitkan dan dikembangkan oleh The Computer Security Division of the National Institute of Standards and Technology (NIST) sebagai bagian dari Departemen Perdagangan Amerika Serikat sebagai tindak lanjut dari Undang-Undang Manajemen Keamanan Informasi Federal (the Federal Information Security Management Act/FISMA). FIPS PUB 200 tidak menerbitkan sertifikasi untuk keahlian/profesional/keahlian. Dikarenakan standar ini ditujukan untuk lembaga-lembaga pemerintahan di Amerika Serikat, FIPS PUB 200 tidak dirancang dan diterbitkan sebagai standar internasional. Dibandingkan dengan COBIT dalam FIPS PUB 200 lebih berkonsentrasi pada aspek confidentiality, integrity dan availability untuk pengelolaan kriteria informasi. Sedangkan untuk pemanfaatan sumber daya TI tidak begitu berfokus pada pengelolaan informasi.
  3. ISO/IEC TR 13335
  4. ISO/IEC TR 13335 Information Technology—Guidelines for the Management of IT Security merupakan format laporan teknis yang terbagi atas lima bagian. Format laporan teknis ini diterbitkan oleh ISO dan IEC yang membuat komite kerjasama teknis bernama ISO/IEC JTC 1. ISO/IEC JTC 1 memiliki sub komite yang bernama SC 27 (IT security techniques) yang menerbitkan beberapa standar internasional di bidang TI seperti ISO/IEC 17799:2005. Tujuan dari disusunnya standar laporan teknis ini lebih dititikberatkan pada manajemen keamanan teknologi informasi yang terbagi atas lima bagian sebagai berikut:
    • Manajemen penugasan/penguasaan mengenai penyusunan, penyiapan konsep keamanan serta pemodelan untuk teknologi informasi dan komunikasi.
    • Pendiskusian tata kerja menyeluruh mengenai manajemen dan penerapan keamanan TI.
    • Penyusunan teknik manajemen keamanan TI.
    • Panduan beberapan petunjuk pilihan penjagaan keamanan yang diterbitkan pada beberapa jenis sistem TI yang terfokus pada ancaman dan gangguan keamanan TI.
    • Identifikasi dan analisa faktor-faktor terkait dalam komunikasi informasi pada saat mengenalkan keamanan jaringan.
    Format standar laporan ini dapat diterapkan di berbagai jenis lembaga. Dalam bagian pertama laporan ditujukan untuk para manajer senior dan manajer keamanan informasi. Sedangkan bagian lainnya ditujukan untuk pelaksana tugas lainnya seperti manajer TI atau staf keamanan TI yang memiliki tanggung jawab dalam penerapan standar keamanan TI. Standar ini diterbitkan pertama kali pada tahun 1997 hingga 2004. Sedangkan sertifikasi keahlian/profesional/lembaga tidak diterbitkan untuk standar ini. Dibandingkan dengan standar COBIT pada ISO/IEC TR 13335 tidak mengatur mengenai aspek efficiency dan sedikit menyentuh aspek effectiveness untuk pengaturan kriteria informasi. Sedangkan di sisi pengelolaan sumber daya TI identik dengan standar COBIT.
DAFTAR PUSTAKA
  1. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002, 2005
  2. Computer Security Division of the National Institute of Standards and Technology, Minimum Security Requirements for Federal
    Information and Information Systems (FIPS PUB 200)
    , Department of Commerce, USA, March 2006,
  3. Computer Security Resource Center of the National Institute of Standards and Technology, An Introduction to Computer Security:
    The NIST Handbook, Special Publication 800-12
    , Department of Commerce, USA, 1995
  4. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
    for Securing Information Technology Systems
    , Special Publication 800-14, Department of Commerce, USA, 1996
  5. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology Security Evaluation 2.0, 1999
  6. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany International Organisation for Standardisation, Code of Practice for Information Security Management, ISO/IEC 17799,
    Switzerland, 2005
  7. International Organisation for Standardisation, Information Technology-Guidelines for the Management of IT Security,
    ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
  8. International Organisation for Standardisation, Quality Management and Quality Assurance Standards – Part 3: Guidelines for the
    Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of Computer Software
    , ISO 9000-3,
    Switzerland, 1991
  9. International Organisation for Standardisation, Quality Management Systems, ISO 9001, Switzerland, 2000
  10. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT Security, ISO/IEC 15408, Switzerland,
    2005
  11. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
  12. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
  13. IT Governance Institute, COBIT 4.0, USA, 2005
  14. IT Governance Institute, COBIT 4.1, USA, 2007
  15. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon University,
    Software Engineering Institute, USA, 1993
  16. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model Integration (CMMI), USA, 2002
  17. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003
Melanjutkan topik sebelumnya yang sudah disampaikan dalam dua posting terdahulu mengenai IT Audit Standard Tools/Framework, maka dengan ini kita lanjutkan diskusi mengenai hal tersebut.
Berikut ini adalah IT Audit Standard Tools/Framework yang akan dibicarakan pada posting ini adalah ISO/IEC 15408:2005/Common Criteria/ITSEC.

Standar internasional ISO/IEC 15408:2005 Security Techniques—Evaluation Criteria for IT Security dibuat berdasarkan Common Criteria for Information Technology Security Evaluation 2.0; dimana standar dasar tersebut dimasukkan dalam satu bab khusus dalam framework ini.
Common Criteria (CC) merupakan lanjutan dari Information Technology Security Evaluation Criteria (ITSEC) yang diterbitkan oleh the European Commission pada tahun 1991 dimana dokumen tersebut memiliki nama yang identik.
ISO/IEC 15408:2005 diterbitkan oleh ISO/IEC JTC 1 yang bekerjasama dengan Common Criteria Project Sponsoring Organisation yang dikenal sebagai CC. Anggota dari organisasi kerjasama ini terdiri dari beberapa negara yang melibatkan beberapa departemen yaitu:
  • Kanada — Communications Security Establishment
  • Perancis — Central Service of the Information System Security
  • Jerman — Federal Office for Security in Information Technology
  • Belanda — The Netherlands National Communications Security Agency
  • Inggris — Communications-Electronics Security Group
  • Amerika Serikat — National Institute of Standards and Technology and National Security Agency
Secara kesejarahan, dapat kita lihat bagaimana standar dari masing-masing negara anggota saling mempengaruhi hingga terbitnya standar ISO/IEC 15408:2005/Common Criteria/ITSEC sebagai berikut:
Amerika Serikat memiliki/menerbitkan US Orange Book TCSEC yang diterbitkan pada tahun 1985. Standar tersebut menjadi masukan bagi Kanada dalam menyusun dan menerbitkan Canadian Criteria yang diterbitkan pada tahun 1993 serta Federal Criteria pada tahun yang sama.
Selain itu dari standar tersebut muncul ITSEC pada tahun 1991. Namun standar ini pun mendapat pengaruh juga dari UK Confidence Levels yang diterbitkan pada tahun 1989, German Criteria serta French Criteria.
Berangkat dari standar-standar tersebut maka terbitlah standar framework Common Criteria versi 1.0 pada tahun 1996 yang kemudian disempurnakan menjadi versi 2.0 pada tahun 1998 dan versi 2.1 pada tahun 1999.
Setelah berkolaborasi dengan ISO/IEC JTC 1 maka disusun dan diterbitkanlah ISO/IEC 15408:1999 yang rilis terakhirnya adalah standar ISO/IEC 15408:2005.
Standar ini diterbitkan sebagai dasar krieteria yang didefinisikan sebagai alat uji bagi keamanan TI yang lebih difokuskan pada keamanan sistem dan produk TI.
ISO/IEC 15408:2005/Common Criteria/ITSEC seringkali diterapkan pada kasus-kasus bisnis sebagai berikut:
  • Penerapan dari produk/jasa TI sebaiknya disertifikasi
  • Pengujian keamanan bagi produk semi pengembangan seperti sistem kontrol
Standar ini ditujukan secara spesifik untuk tiga kelompok sebagai berikut:
  • Pelanggan/Consumers
  • Pengembang/Developers
  • Penguji/Evaluators
Standar CC hanya menerbitkan sertifikasi untuk produk/jasa TI, tidak untuk personal. Sedangkan secara sudut pandang IT governance standar ini dianggap masih belum lengkap karena tidak secara menyeluruh dalam menetapkan setiap aspek penugasan manajemen TI. Standar ini lebih terpusat pada produk/jasa TI, bukan pada aspek-aspek manajemen TI.
Jika dibandingkan dengan standar COBIT maka secara aspek kriteria informasi hanya berfokus pada Confidentiality, Integrity, Availability, sedikit aspek Compliance dan Reliability. Namun dari sisi pengelolaan sumber daya TI identik dengan standar COBIT.
DAFTAR PUSTAKA
  1. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
    for Securing Information Technology Systems
    , Special Publication 800-14, Department of Commerce, USA, 1996
  2. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology Security Evaluation 2.0, 1999
  3. International Organisation for Standardisation, Quality Management and Quality Assurance Standards – Part 3: Guidelines for the
    Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of Computer Software
    , ISO 9000-3,
    Switzerland, 1991
  4. International Organisation for Standardisation, Quality Management Systems, ISO 9001, Switzerland, 2000
  5. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
  6. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
  7. IT Governance Institute, COBIT 4.0, USA, 2005
  8. IT Governance Institute, COBIT 4.1, USA, 2007
Melanjutkan posting mengenai IT Audit Standard Tools/Framework yang sudah disajikan dalam Bagian I, Bagian II dan Bagian III dengan judul yang sama sebelumnya maka akan kita lanjutkan mengenai framework lainnya yang terdiri atas:
  • PRINCE2
  • PMBOK
  • TickIT
Seluruh framework tersebut dalam posting ini akan dibandingkan dengan standar COBIT 4.1 yang disusun dan diterbitkan oleh IT Governance Institute.

Berikut ini penjelasan atas masing-masing IT Audit Standard Tools/Framework tersebut:

PRINCE2

Projects in Controlled Environments (PRINCE) dibangun/disusun sebagai metode terstruktur dalam pengelolaan proyek TI secara efektif yang dipublikasikan dalam satu dokumen yang dikenal sebagai Managing Successful Projects With PRINCE2.
PRINCE2 dipublikasikan pertama kali pada tahun 1996 sebagai respon atas kebutuhan pengguna yang memerlukan adanya panduan dalam manajemen proyek di segala jenis proyek, tidak hanya bagi proyek-proyek di bidang TI (teknologi informasi).
Walaupun sebenarnya pada tahun 1989 metode PRINCE sudah dikembangkan pertama kali oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai British Office of Government Commerce (OGC) yang meneruskan pengembangannya. Terbitan terbaru dari PRINCE2 adalah pada tahun 2005.
Tujuan utama dari PRINCE2 adalah mendefinisikan sebuah metode manajemen proyek yang meliputi seluruh bagian dan aktivitas yang perlu dilaksanakan dalam sebuah proyek. Sedangkan target organisasi yang dituju dari metode ini adalah setiap jenis maupun besaran lembaga.
Fokus mendasar dari PRINCE2 adalah pada pengelolaan kasus bisnis yang memberikan gambaran rasional dan penilaiannya untuk proyek yang sedang dilaksanakan. Kasus-kasus bisnis tersebut membimbing seluruh proses manajemen proyek dari mulai inisial persiapan proyek hingga penyelesaiannya.
PRINCE2 dalam penerapannya selalu menyertakan subyek berikut yang mengikuti kasus-kasus bisnis yaitu:
  1. Membangun pengertian mendasar atas proses, tanggung jawab dan standar penilaian untuk manajemen proyek
  2. Menyediakan pendekatan yang konsisten dalam manajemen proyek tanpa membedakan jenis proyeknya
  3. Memastikan keterlibatan aktif dari para pengguna dan pemegang kebijakan
  4. Memastikan fokus pada tujuan selama pengambilan keputusan dalam pelaksanaan proyek
  5. Pengadopsian best-practice dari manajemen proyek yang sudah teruji
PRINCE2 memiliki dua tingkat sertifikasi profesional untuk perseorangan yaitu:
  1. Foundation Certificate
  2. Ujiannya dilaksanakan dalam satu jam yang meliputi 75 pertanyaan pilihan berganda.
  3. Registered Practitioner
  4. Ujiannya dilaksanakan dalam tiga jam yang meliputi tiga kasus berbeda dalam 150 pertanyaan pilihan berganda. Untuk dapat lulus minimal harus lulus 75 pertanyaan yang dapat dilakukan dengan sistem open book. PRINCE2 Registered Practitioners diwajibkan melakukan pendaftaran ulang setiap 3-5 tahun untuk memelihara sertifikasi keahlian mereka. Hal ini dilaksanakan melalui satu ujian praktis yang dilaksanakan dalam satu jam dengan satu skenario kasus dalam pertanyaannya.
Secara spesifik, PRINCE2 merupakan standar dalam manajemen proyek TI dan tidak memiliki arah secara khusus pada manajemen TI atau/dan tata-kelola TI (IT governance).
Untuk informasi lebih lanjut dapat mengakses website berikut:

PMBOK

Project Management Body of Knowledge (PMBOK) adalah panduan yang berisikan kumpulan pengetahuan yang diperlukan oleh para profesional dalam manajemen proyek. PMBOK merupakan standar yang ditetapkan oleh American National Standard, ANSI/PMI 99-001-2004 yang diterbitkan oleh Project Management Institute (PMI).
Tujuan utama dari PMBOK adalah melakukan identifikasi secara bagian per bagian dari Pengetahuan atas Badan Pengelola Proyek (Project Management Body of Knowledge) yang secara umum dikenal sebagai praktek terbaik.
Panduan dari PMBOK menyajikan dan mengenalkan bahan-bahan penting untuk didiskusikan, ditulis dan diterapkan dalam manajemen proyek.
PMBOK selalu diterapkan sebagai subyek pada satu atau lebih kasus-kasus bisnis yang menyertai hal-hal berikut:
  1. Menetapkan hal-hal utama yang dilaksanakan dalam proses manajemen proyek
  2. Meningkatkan pengetahuan dari praktek terbaik yang disajikan dalam manajemen proyek
PMBOK ditujukan sebagai referensi dasar bagi pihak manapun yang memiliki kepedulian terhadap pekerjaan dalam manajemen proyek.
Secara berkala PMBOK ditinjau-ulang dan dimutakhirkan sejak pertama kali dipublikasikan pada tahun 1983. Rilis terbaru dari PMBOK diterbitkan pada tahun 2004.
PMI menawarkan program sertifikasi PMP (Project Management Professional) bagi para manajer proyek. Ujian untuk memperoleh sertifikasi ini didasarkan pada Project
Management Professional Examination Specification
yang dapat memberikan gambaran tingkat kompetensi dari seorang PMP, pengetahuan serta keterampilannya dalam menyelesaikan setiap tugas.
Seperti halnya PRINCE2, PMBOK merupakan standar yang lebih spesifik pada manajemen proyek TI dan tidak secara khusus dirancang sebagai framework bagi IT governance dan IT management.
Untuk informasi lebih lanjut dapat mengakses website PMI.

TickIT

TickIT adalah skema baku yang digunakan dalam proses assessement dan sertifikasi pada sistem manajemen mutu perangkat lunak suatu organisasi.
Standar ini dipublikasikan dan dikelola oleh TickIT Office, sebuah unit bisnis dari British Standards Institution.
Tujuan dari penyusunan standar ini adalah supaya para pengembang perangkat lunak memiliki perhatian spesifik pada:
  1. Mutu sebagai bagian penting dalam proses pengembangan perangkat lunak
  2. Prioritas pada mutu yang terukur
  3. Pengembangan yang berkelanjutan atas sistem manajemen mutu
Tujuan penting dari pengembangan TickIT bagi pihak manajemen pengembangan perangkat lunak adalah membangun sertifikasi yang efisien atas sistem manajemen mutu. Untuk mencapai hal tersebut, mengikuti langkah-langkah berikut adalah hal yang harus dilakukan:
  1. Membuat panduan yang memfasilitas penafsiran dari ISO 9001:2000
  2. Meningkatkan pengetahuan dari para auditor TI/SI yang terdaftar hingga memiliki keahlian dan kompetensi yang memadai
  3. Membuat aturan-aturan yang dapat bertugas sebagai badan akreditasi di sektor perangkat lunak
TickIT biasanya selalu diterapkan pada subyek-subyek yang mengikuti kasus-kasus bisnis sebagai berikut:
  1. Kebutuhan atas sertifikasi sistem manajemen mutu
  2. Kebutuhan atas panduan pada spesifikasi tertentu
  3. Perangkat lunak yang menjadi bagian terintegrasi pada suatu produk
  4. Sistem pekerjaan subkontrak pada pihak ketiga dan bergantung pada mutu standar organisasi yang mempekerjakannya
TickIT dirancang untuk organisasi yang memandang pengembangan perangkat lunak memberikan nilai yang berpengaruh atas layanan/produk lembaga tersebut. Maka standar ini sangat terkait dengan para manajer senior, badan eksekutif dan badan akreditasi yang berwenang.
Secara klasifikatif, TickIT difokuskan pada tiga kelompok pengguna yaitu:
  1. Pelanggan (customer)
  2. TickIT memberikan panduan bagaimana pelanggan dapat mempengaruhi mutu dari suatu produk.
  3. Penyalur (supplier)
  4. TickIT memberikan panduan kepada pengembang perangkat lunak, termasuk para pengembang internal suatu organisasi yang memiliki perhatian atas peningkatan efektifitas atas sistem manajemen mutu mereka.
  5. Auditor
  6. TickIT memberikan panduan kepada para auditor bagaimana melakukan assessement procedures dengan pasti.
Sertifikasi TickIT tersedia untuk tingkat organisasi yang memberikan gambaran penerapan dari skema TickIT bagi manajemen mutu. Sertifikasi ISO 9001:2000 memiliki kesamaan dengan sertifikasi TickIT secara internasional. Sedangkan bagi para profesional tersedia sertifikasi untuk auditor.
Walaupun berasal dari Inggris, TickIT banyak digunakan di beberapa negara di wilayah Eropa.
TickIT memiliki fokus utama pada pengembangan perangkat lunak dan terkait dengan sistem manajemen mutu sehingga standar ini diklasifikasikan sebagai bagian dari tata-kelola TI.
DAFTAR PUSTAKA
  1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality Management System Construction and
    Certification
    , UK, 1994
  2. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002, 2005
  3. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software Quality Management Systems-Construction,
    Certification and Continued Improvement, UK, 2001
  4. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
    for Securing Information Technology Systems
    , Special Publication 800-14, Department of Commerce, USA, 1996
  5. International Organisation for Standardisation, Quality Management Systems, ISO 9001, Switzerland, 2000
  6. Project Management Institute, A Guide to the Project Management Body of Knowledge (PMBOK), 3rd Edition, 2004
Melanjutkan posting mengenai IT Audit Standard Tools/Framework yang sudah disajikan dalam Bagian I, Bagian II, Bagian III dan Bagian IV dengan judul yang sama sebelumnya maka akan kita lanjutkan mengenai framework lainnya yaitu CMMI.

Capability Maturity Model Integration® (CMMI) adalah dokumentasi best-practice yang diarahkan sebagai panduan dalam pemberdayaan proses pengembangan teknologi informasi.
Dokumentasi CMMI menyajikan model-model rekayasa sistem (system engineering), produk terpadu, pengembangan proses dan pengelolaan sumber daya dari pihak penyalur (supplier).
CMMI dipublikasikan oleh Software Engineering Institute (SEI) of Carnegie Mellon University. Dimana standar CMMI tersebut secara generik didasarkan pada Capability Maturity Model (CMM).
Tujuan dari panduan dokumentasi CMMI meliputi peningkatan proses dalam membangun produk yang lebih baik yang berbasiskan proses pengembangannya.
CMMI secara fungsional diterapkan pada kasus-kasus berikut:
  • Penilaian studi kualitas (assessing) atas proses kematangan (maturity) terkini.
  • Meningkatkan kualitas struktur organisasi dan pemrosesan dengan mengikuti pendekatan best-practice.
  • Digunakan dalam proses uji-kinerja (benchmarking) dengan organisasi lainnya.
  • Meningkatkan produktivitas dan menekan resiko proyek.
  • Menekan resiko dalam pengembangan perangkat lunak.
  • Meningkatkan kepuasan pelanggan.
Target pengguna dari CMMI adalah pengembang perangkat lunak (software developer), manajer sistem, program dan perangkat lunak, praktisi dari berbagai latar belakang yang terkait dengan sistem dan perangkat lunak serta pemerintah dan industri yang terkait dengan sistem intensif perangkat lunak.
Versi pertama dari dokumentasi CMMI dipublikasikan pertama kali pada tahun 2002 dan masih terus dimutakhirkan sampai sekarang.
Sertifikasi untuk CMMI diterbitkan oleh beberapa organisasi. Sedangkan process maturity appraisals diproses oleh beberapa organisasi dengan menggunakan standar SEI’s Standard CMMI Appraisal Method for Process Improvement (SCAMPI) or ISO/IEC 15504.
Untuk informasi lebih lengkap dapat diakses di:
  1. CMMI
  2. ISO
DAFTAR PUSTAKA
  1. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
    for Securing Information Technology Systems
    , Special Publication 800-14, Department of Commerce, USA, 1996
  2. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology Security Evaluation 2.0, 1999
  3. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
    International Organisation for Standardisation, Code of Practice for Information Security Management, ISO/IEC 17799,
    Switzerland, 2005
  4. International Organisation for Standardisation, Information Technology ”Guidelines for the Management of IT Security,
    ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
  5. International Organisation for Standardisation, Quality Management and Quality Assurance Standards-Part 3: Guidelines for the
    Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of Computer Software
    , ISO 9000-3,
    Switzerland, 1991
  6. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
  7. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
  8. IT Governance Institute, COBIT 4.0, USA, 2005
  9. IT Governance Institute, COBIT 4.1, USA, 2007
  10. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon University, Software Engineering Institute, USA, 1993
  11. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model Integration (CMMI), USA, 2002





    No comments:

    Post a Comment