Tujuan yaitu:
- Pengendalian keamanan fisik memadai untuk secara wajar melindungi perusahan dari eksposur fisik.
- jaminan atas perlengkapan telah memadai untuk dapat memberikan kompensasi pada perusahaan jika terjadi kehancuran atau kerusakan atas pusat komputer terkait.
- dokumentasi operator memadai untuk dapat menagani kegagalan sistem.
prosedur audit:
- Pengujian konstruksi fisik
- Pengujian Sistem deteksi kebakaran
- Pengujian pengendalian akses
- Pengujian pasokan listrik cadangan
- Pengujian cakupan asuransi
- Pengujian Pengendalian Dokumentasi operator
Tujuan Audit dan Prosedur Audit
1. Tujuan audit perancanaan pemulihan bencana :
Tujuan audit:
Untuk mencegah perpanjangan interupsi proses data dan operasi bisnis akibat kebakaran, bencana alam, sabotase dan vandalism.
Proses audit:
Data Processing Continuity Planning. Perencanaan ketika terjadi bencana dan menciptakan rencana untuk mengatasi bencana tersebut.
- Disaster Recovery Plan Maintenance. Melihara rencana tersebut agar selalu diperbarui dan relevan.
2. Pengendalian toleransi kegagalan sistem:
Berkaitan dengan keamanan system informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol yang dapat dilakukan untuk pengamanan sistem informasi antara lain:
1. a. Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal berikut:
• Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
• Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
• Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
• Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
• Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
2. b. Kontrol Pengembangan dan Pemeliharaan Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.
3. c. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan. Termasuk dalam kontrol ini:
• Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya.
• Kontrol terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.
• Kontrol terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
• Kontrol terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
• Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
3. Pengendalian keseluruhan sistem:
Tahap Pemeriksaan Pendahuluan.
Dalam tahap ini auditor melakukan audit terhadap susunan , struktur, prosedur, dan cara kerja komputer yang digunakan organisasi8. Dalam tahap ini auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri menolak melakukan / meneruskan auditnya.Dalam tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer.
Tahap Pengujian Kesesuaian.
Tujuan pengujian kesesuaian adalah untuk mengetahui apakah struktur pengendalian intern yang digariskan diterapkan sebagaimana mestinya atau tidak. Dalam tahap ini auditor dapat menggunakan ‘ COMPUTER ASSITED EVIDANCE COLLECTION TECHNIQUES’ (CAECTs) untuk menilai keberadaan dan kepercayaan auditor terhadap struktur pengendalian intern tersebut.
Tahap Pengujian Kebenaran Bukti.
Tujuan pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten, sehingga auditor dapat memutuskan apakah resiko yang material dapat terjadi atau tidak selama pemrosesan data di komputer. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) pengujian untuk :
1) Mengidentifikasi kesalahan dalam pemrosesan data
2) Menilai kualitas data
3) Mengidentifikasi ketidakkonsistenan data
4) Membandingkan data dengan perhitungan fisik
5)Konfirmasi data dengan sumber-sumber dari luar
4. Kebijakan password/kata sandi:
1.memverifikasi bahwa semua pengguna diharuskan memiliki kata sandi.
2.memverifikasi bahwa semua pengguna diberikan arahan dalam penggunaan kata sandi mereka dan peran penting pengendalian kata sandi.
3.nilai kecukupan standar kata sandi seperti dalam hal panjangnya dan interval kadaluwarsanya.
5. Pengendalian jejak audit elektronik:
Daftar yang dapat didesain untuk mencatat berbagai aktivitas dalam tingkat sistem, aplikasi, dan pengguna. Jika diimplementasikan dengan benar, jejak audit memberikan pengendalian deteksi yang penting untuk membantu mewujudkan tujuan kebijakan keamanan. Jejak audit biasanya terdiri dari dua jenis data audit yaitu daftar terperinci mengenai tiap ketikan dan daftar yang berorientasi pada peristiwa.
6. Pengembangan sistem dan prosedur pemeliharaan yang tidak memadai:
a. Rencana Kesinambungan Kegiatan (pada perusahaan dikenal
dengan Bussiness Continuity Plan) yaitu suatu fasilitas atau
prosedur yang dibangun untuk menjaga kesinambungan
kegiatan/layanan apabila terjadi bencana
b. Rencana Pemulihan Dampak Bencana “disaster recovery plan”,
yaitu fasilitas atau prosedur untuk memperbaiki dan/atau
mengembalikan kerusakan/dampak suatu bencana ke kondisi
semula. Disaster recovery plan ini juga meliputi kemampuan untuk
prosedur organisasi dan “back up” pemrosesan, penyimpanan, dan
basis data.