Tools lain untuk melakukan audit TI selain menggunakan COBIT

Tools lain untuk melakukan audit TI selain menggunakan COBIT

1. ITIL

ITIL adalah suatu rangkaian dengan konsep infrastruktur, pengembangan, serta operasi teknologi informasi. ITIL sebenarnya adalah suatu rangkaian rangkuman dari beberapa buku yang membahas tentang pengelolaan (TI). ITIL memberikan beberapa praktik TI penting seperti daftar cek, tugas, serta beberapa prosedur yang disesuaikan dengan segala jenis organisasi(TI).

ITIL sudah dikembangkan sejak 1980-an dengan ITIL 1.0.Kemudian dengan beriringnya waktu  peningkatan pelayanan yang berkesinambungan dan adaptasi terhadap situasi saat ini dalam lingkungan (TI) modern ITIL 1.0 di rilis besar dan dijadikan ITIL 2.0 yang paling dikenal dengan set bukunya yang berhubungan dengan ITSM (IT service management) & service support(dukungan layanan). Pada awal 2007 ITIL 3.0 didirikan. Ini didirikan dengan sama sekali baru. Terdapat 3 bidang utama didalamnya : ITIL Core Publikasi, ITIL Pelengkap Bimbingan, ITIL Web Support Services

Pada 30 Juni 2007, OGC (Office of Government Commerce) menerbitkan versi ketiga ITIL (ITIL v3) yang intinya terdiri dari lima bagian dan lebih menekankan pada pengelolaan siklus ITSM (IT service management). Lima bagian tersebut adalah :

1. Service Strategy

Ini merupakan inti dari ITIL Service Life Cycle yang memberikan panduan kepada pengimplementasian ITSM . Panduan ini disajikan dalam bentuk prinsip-prinsip dasar konsep ITSM, acuan, serta proses-proses inti.

Proses di dalamnya yaitu:

• Service Portofolio Management
• Financial Management
• Demand Management

2. Service Design

Agar layanan TI dapat memberikan manfaat pada bisnis, layanan TI harus terlebih dahulu didesain dengan tujuan bisnis dari pelanggannya. Service Design memberikan panduan kepada organisasi TI untuk bisa secara sistematis dan best practice mendesain dan membangun layanan TI.

Proses di dalamnya yaitu:

• Service Catalog Management
• Service Level Management
• Supplier Management
• Capacity Management
• Availability Management
• IT Service Countinuity Management
• Information Security Management

3. Service Transition

Menyediakan panduan kepada organisasi TI agar dapat mengembangkan kemampuan untuk mengubah hasil desain layanan TI. Tahapan ini menggambarkan bagaimana sebuah kebutuhan didefinisikan dalam Service Strategy, lalu dibentuk dalam Service Design dan selanjutnya secara efektif direalisasikan dalam Service Operation

Proses di dalamnya yaitu:

• Transation Planning and Support
• Change Management
• Service Assset and Configuration Management
• Release and Deployment Management
• Service Validation
• Evaluation
• Knowledge Management

4. Service Operational

Ini adalah tahapan life cycle yang mencakup semua kegiatan operasional layanan-layanan TI. Di dalamnya terdapat beberapa panduan-panduan untuk mengelola layanan TI secara efisien.

Proses di dalamnya:

• Event Management
• Incident Management
• Problem Management
• Request Fulfillment
• Access Management

2. ISO 17799

1. Definisi ISO 17799

Dewasa ini teknologi informasi merupakan hal yang tidak bisa lagi dipidahkan dari dunia bisnis. Selain mempermudah pekerjaan, alasan keamanan dan efisiensi merupakan alasan orang-orang untuk beralih ke komputerisasi dibandingkan manual. Oleh karena itu, suatu entitas bisnis membutuhkan  manajemen informasi yang baik untuk memelihara informasi tersebut guna meningkatkan kinerjanya. Tujuan dari manajemen informasi ini adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi seiring dengan tumbuhnya berbagai kasus kejahatan komputer (computer crime) yang mengancam kelangsungan sumber daya informasi bisnis.
ISO 17799 (International Organization for Standardization/Organisation internationale de normalisation) adalah :

• suatu standar internasional –dibuat oleh badan yang terdiri atas wakil dari berbagai organisasi standar nasional. Didirikan pada 23 Februari 1947, organisasi ini mengumumkan secara resmi standar untuk komersil dan industry. Berkantor pusat di Geneva, Switzerland.

ISO 17799 diterbitkan oleh International Organization for Standardizations (ISO) dan International Electrotechnical Commission (IEC), merupakan kode praktek untuk menyediakan suatu kerangka sebagai standar keamanan informasi. Ini berarti menyediakan suatu tingkatan yang tinggi, deskripsi umum mengenai area yang seharusnya dipertimbangkan ketika mulai menerapkan, pelaksanaan atau memelihara keamanan informasi di manajemen. ISO17799 memberikan secara komprehensif alat pengendalian berisikan praktek terbaik dalam keamanan informasi. Standar ini sekarang belum meliputi seluruh area yang penting namun masih mengalami revisi yang seksama.
Logo organisasi ini menggunakan dua bahasa yaitu Inggris dan Perancis, dimana penggunaan bahasa ini termasuk dalam lembaran resmi ISO. ISO bukan akronim dan nama singkatan dari nama lengkap organisasi ini, melainkan organisasi ini mengadopsi nama ISO berdasarkan kata dalam bahasa Yunani ἴσος (isos), yang artinya sama (equal). Mengakui bahwa inisial organisasi akan berbeda arti dalam bahasa yang berbeda, pendiri organisasi memilih ISO sebagai format ringkas universal untuk namanya.  Ini, dengan sendirinya merefleksikan tujuan organisasi yaitu untuk menyamakan dan menstandarisasi lintas batas negara.

1. Pihak Yang Terlibat
2. Internal

Pihak internal yang terlibat dalam hal ini adalah manajer keamanan informasi sebagai pihak yang menjalankan fungsi keamanan informasi.

1. Eksternal

Pada tahun 1995 Institut Standard Britania (BSI) menerbitkan standard pertama mengenai manajemen informasi di seluruh dunia, dengan nama BS 7799. Kemudian diikuti pada 1 Desember 2000, ISO (Organisasi Internasional Standardisasi) memperkenalkan ISO 17799 standard mengenai manajemen informasi.
ISO merupakan organisasi non-pemerintah yang memiliki kemampuan untuk menetapkan standar dan seringkali menjadi ‘hukum’, salah satunya melalui perjanjian atau sebagai standar nasional, dan membuatnya lebih kuat daripada kebanyakan organisasi pemerintah. Produk utama ISO adalah standar internasional. ISO juga menerbitkan Technical Reports, Technical Specifications, Publicly Available Specifications, Technical Corrigenda, dan Guides. Dalam prakteknya, ISO bertindak sebagai konsorsium yang memiliki hubungan kuat dengan pemerintah.

Penjelasan :
ISO 17799 diterbitkan oleh International Organization for Standardization (ISO) pada tahun 2000. ISO 17799 adalah standar internasional yang menyediakan petunjuk dan kontrol untuk mengatur keamanan informasi(Information Security Management Standard/ISMS). ISO 17799 berasal dari standar yang dikembangkan Department of Trade and Industry (DIT) tahun 1993. British Standards Institute (BSI) kemudian mengambil alih dan memperbaikinya kemudian disebut BS 7799 pada Februari tahun 1995, dan kemudian direvisi pada Mei 1999 dan diterbitkan dalam dua bagian:.

• Part I  : Code Of Practice For Information Security Management
• Part II : Specification For Information Security Management Systems

ISO hanya mengadopsi Part I dari BS 7799, sehingga Part I sekarang disebut sebagai “ISO/IEC 17799:2000” atau “ISO 17799”, sedangkan Part II tetap disebut “BS 7799-2”. Edisi pertama ISO 17799 diterbitkan pada tahun 2000, dan edisi keduanya terbit pada tahun 2005. Sejak edisi kedua tersebut ISO 17799 menjadi standar resmi ISO yang berdampak diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.

3. Tujuaan Pengendalian ISO 17799

• memeberikan rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggungjawab dalam inisiasi, implementasi, atau mengelola keamanan informasi pada organisasinya. ISO 17799 Merupakan standar keamanan internasional manajemen  yang pertama kali diterapkan
• untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya,  ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhanSistem Manajemen Keamanan Informasi (ISMS).