Mediafire

MV BTS - IDOL
VLIVE BTS

Apa itu SMKI (Sistem Manajemen Keamanan Informasi)?

Information Security Management System (ISMS) atau yang di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi) adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlkukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. ISMS didesain untuk melindungi asset informasi dari seluruh gangguan keamanan.

Sistem manajemen keamanan informasi menjaga kerahasiaan, integritas dan ketersediaan informasi dengan penerapan suatu proses manajemen risiko dan memberikan keyakinan kepada pihak yang memerlukannya bahwa semua risiko ditangani dengan baik. Sistem manajemen keamanan informasi merupakan bagian dari dan terintegrasi dengan proses-proses organisasi dan keseluruhan struktur manajemen dan keamanan informasi dipertimbangkan dalam proses-proses disain, sistem informasi, dan pengendalian. Diharapkan bahwa implementasi sistem manajemen keamanan informasi akan disesuaikan sejalan dengan kebutuhan organisasi. Standar internasional ini dapat digunakan oleh pihak internal dan eksternal untuk menguji kemampuan organisasi dalam memenuhi persyaratan keamanan informasi yang ditetapkan oleh organisasi tersebut.

• Kerahasiaan– memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised untuk mempunyai akses.
• Integritas– melindungi kelengkapan dan ketelitian informasi  dan memproses metoda.
• Ketersediaan– memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan berhubungan dengan asset ketika diperlukan.

Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan?

       Banyaknya pelanggaran keamanan ini menunjukkan  sebagian besar usaha keamanan informasi adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi. Kesalahan Operator dan  kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang unauthorised eksternal memperoleh 2%.

      Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab keamanan informasi organisasinya. Laporan menunjukkan bahwa hanya 2% tentang pelanggaran informasi yang serius adalah dalam kaitannya  dengan akses eksternal unauthorised. 

Penerapan Standard ISO 17799 : ISMS

      Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya,  ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).

Adapun manfaat  proses keamanan informasi dalam Standard ISO 17799 bagi  perusahaan adalah sebagai  berikut:

• Suatu metodologi tersusun yang dikenali
• Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur keamanan informasi
• Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
• Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka sendiri
• Menunjukkan Sertifikasi “ Penelitian”

ISO27K adalah sebuah seri dari standar internasional untuk manajemen keamanan informasi. Standar ini mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran bisnis, mulai dari usaha mikro hingga perusahaan besar multinasional.

Standar ISO/IEC 27001:2005 adalah sebuah proses dari mengaplikasikan kontrol manajemen keamanan di daialm sebuah organisasi untuk mendapatkan servis keamanan dalam ranga meminimalisir risiko aset dan memastikan keberlangsungan bisnis. Servis keamanan yang utama yang harus diperhatikan adalah sebagai berikut:

a.         Information Confidentiality  (Kerahasiaan Informasi)

b.        Information Integrity (Integritas Informasi)

c.         Services Availibility (Ketersediaan servis)

Standar internasional ini mengadopsi sebuah model bernama Plan-Do-Check-Act (PDCA), yang diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah mengilustrasikan model PDC

1.  Plan: adalah proses membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan dan objektif objektif dari ISMS termasuk membangun prosedur yang menitikberatkan pada mengelola risiko.
2. Do: Adalah proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di langkap sebelumnya.
3. Check: adalah proses pemantauan/monitoring dan peninjauan/reviewing ISMS dengan cara mengukur performa terhadap kontrol yang telah diaplikasikan, termasuk kebijakan, dan pada akhirnya mengeluarkan hasilnya untuk ditinjau oleh manajemen.
4. Act: berdasarkan peninjauan dari manajemen dari langkah sebelumnya, peningkatan dari ISMS yang telah diaplikasikan akan mengambil tempatnya.

Keluarga ISO/IEC 27K
Keluarga Standar Sistem Manajemen Keamanan Informasi merupakan bagian yang saling terkait.

1. ISO/IEC 27000:2014 - provides an overview/introduction to the ISO27k standards plus a glossary for the specialist vocabulary.
2. ISO/IEC 27001:2013 is the Information Security Management System (ISMS) requirements standard, a formal specification for an ISMS. Status update Oct 7
3. ISO/IEC 27002:2013 is the code of practice for information security controls describing good practice information security control objectives and controls. Status update Oct 7
4. ISO/IEC 27003:2010 provides guidance on implementing ISO/IEC 27001.
5. ISO/IEC 27004:2009 covers information security management measurement .
6. ISO/IEC 27005:2011 covers information security risk management.
7. ISO/IEC 27006:2011 is a guide to the certification or registration process for accredited ISMS certification or registration bodies.
8. ISO/IEC 27007:2011 is a guide to auditing Information Security Management Systems.
9. ISO/IEC TR 27008:2011 concerns the auditing of ‘technical’ security controls.
10. ISO/IEC 27009 will advise those producing standards for sector-specific applications of ISO27k.
11. ISO/IEC 27010:2012 provides guidance on information security management for inter-sector and inter-organisational communications.
12. ISO/IEC 27011:2008 is the information security management guideline for telecommunications organizations (dual-numbered as ITU X.1051).
13. ISO/IEC 27013:2012 provides guidance on the integrated/joint implementation of both ISO/IEC 27001 (ISMS) and ISO/IEC 20000-1 (service management/ITIL).
14. ISO/IEC 27014:2013 offers guidance on the governance of information security.
15. ISO/IEC TR 27015:2012 provides information security management guidelines for financial services.
16. ISO/IEC TR 27016:2014 covers the economics of information security management.
17. ISO/IEC 27017 will cover information security controls for cloud computing. Status update Oct 7
18. ISO/IEC 27018 covers PII (Personally Identifiable Information) in public clouds.
19. ISO/IEC TR 27019:2013 covers information security for process control in the energy industry.
20. ISO/IEC 27021 is proposed to explain the competencies and knowledge required by information security management professionals.
21. ISO/IEC TR 27023 will map between the 2005 and 2013 versions of 27001 and 27002.
22. ISO/IEC 27031:2011 is an ICT-focused standard on business continuity.
23. ISO/IEC 27032:2012 covers cybersecurity.
24. ISO/IEC 27033:2009+ is replacing the multi-part ISO/IEC 18028 standard on IT network security (parts 1, 2, 3, 4 & 5 are published, part 6 is in preparation).
25. ISO/IEC 27034:2011+ is providing guidelines for application security (part 1 was released in 2011 and corrected in 2014, the others are in preparation).
26. ISO/IEC 27035:2011 on information security incident management.
27. ISO/IEC 27036:2013+ is a multi-part security guideline for supplier relationships including the relationship management aspects of cloud computing (parts 1, 2 and 3 have been published so far).
28. ISO/IEC 27037:2012 covers identifying, gathering and preserving digital evidence.
29. ISO/IEC 27038:2014 is a specification for digital redaction.
30. ISO/IEC 27039 will concern intrusion detection and prevention systems.
31. ISO/IEC 27040 will offer guidance on storage security.
32. ISO/IEC 27041 will offer guidance on assurance for digital evidence investigation methods.
33. ISO/IEC 27042 will offer guidance on analysis and interpretation of digital evidence.
34. ISO/IEC 27043 will offer guidance on digital evidence investigation principles and processes.
35. ISO/IEC 27044 will offer guidance on SIEM (Security Incident and Event Management).
36. ISO/IEC 27050 will offer guidance on electronic discovery.
37. ISO 27799:2008 provides health sector specific ISMS implementation guidance based on ISO/IEC 27002:2005.

Tahapan Penerapan SMKI

1. Persetujuan Pimpinan

Sebelum rencana penerapan SMKI, pimpinan harus mendapatkan penjelasan yang memadai tentang seluk beluk, nilai penting dan untung rugi menerapkan SMKI serta konsekuensi ataupun komitmen yang dibutuhkan dari pimpinan sebagai tindak lanjut persetujuan terhadap proyek SMKI. Persetujuan pimpinan harus diikuti dengan arahan dan dukungan selama berlangsungnya proyek tersebut. Oleh karena itu, perkembangan proyek SMKI harus dikomunikasikan secara berkala kepada pimpinan pasca persetujuannya agar setiap masalah yang memerlukan pengambilan keputusan pimpinan dapat diselesaikan secara cepat dan tepat.

2. Menetapkan Organisasi, Peran dan Tanggungjawab

Salah satu bentuk komitmen pimpinan pasca persetujuan terhadap rencana penerapan SMKI adalah dengan menetapkan organisasi atau tim penanggungjawab keamanan informasi. Organisasi atau tim ini harus ditetapkan secara formal dan diketuai oleh koordinator atau ketua tim. Jumlah anggota tim disesuaikan dengan ruang lingkup organisasinya. Tugas utama tim ini adalah menyiapkan, menjamindan/atau melakukan seluruh kegiatan dalam tahapan penerapan SMKI (yang diuraikan dalam Bab ini) agar dapat terlaksana dengan baik sesuai rencana.

Organisasi penanggung jawab keamanan informasi ini dapat ditetapkan sebagai struktur organisasi yang bersifat permanen atau sebagai “tim adhoc” (tim proyek) sesuai kebutuhan. Tanggungjawab ketua dan anggota tim serta unit kerja terkait dalam hal keamanan informasi harus diuraikan secara jelas. Ketua tim hendaknya ditetapkan/dipilih dari pejabat tertinggi sesuai ruang lingkup penerapan SMKI atau yang pejabat yang didelegasikan.

3. Mendefinisikan Ruang Lingkup

Ruang lingkup ini meliputi:

• Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan publik, Pengamanan Pusat Data, pengembangan aplikasi, penggunaan jaringan dan fasilitas email, dan sebagainya.
• Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang.
• Lokasi kerja. Misalnya: Tingkat Pusat, daerah atau keduanya. Mana saja lokasi yang dipilih untuk menerapkan SMKI? Apakah SMKI akan langsung diterapkan ke seluruh lokasi kerja? Atau apakah diterapkan secara bertahap dengan memprioritaskan pada lokasi tertentu terlebih dahulu?

Penetapan ruang lingkup ini harus didiskusikan dengan Satuan Kerja terkait dengan memperhatikan tingkat kesiapan masing-masing termasuk ketersediaan sumber daya yang diperlukan untuk membangun dan menerapkan SMKI.

4. Melakukan Gap Analysis

Kegiatan ini dilakukan dengan tujuan utamanya untuk membandingkan seberapa jauh persyaratan klausul-klausul ISO 27001 telah dipenuhi, baik pada aspek kerangka kerja (kebijakan dan prosedur) maupun aspek penerapannya. Untuk aspek kerangka kerja, identifikasilah apakah kebijakan dan prosedur sebagaimana dicantumkan dalam butir 5.2 telah dipenuhi. Sedang untuk aspek penerapan, periksalah ketersediaan rekaman sebagai bukti-bukti penerapan.

Gap Analysis umumnya dilakukan dengan bantuan checklist pemeriksaan.Selain Checklist Indeks KAMI, checklist lain untuk kegiatan gap analysis ISO 27001 dapat diunduh dari berbagai situs tentang keamanan informasi.

5. Melakukan Risk Assessment dan Risk Treatment Plan

Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment. Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat, jika sudah ada.

Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:

• Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003)
• ISO/IEC27005 – Information Security Risk Management
• Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004
• NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.

Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut.

Sumber :

http://jajankaki.blogspot.co.id/2015/05/pengertian-dan-penjelasan-mengenai.html

https://www.kaskus.co.id/thread/543e046e6208819a128b456c/sistem-manajemen-keamanan-informasi-smki-keluarga-iso-iec-27k/

https://itgid.org/tahapan-penerapan-smki-part-i/


https://smksikelompok.wordpress.com/2016/01/09/pengertian-sistem-manajemen-keamanan-sistem-informasi/

Apa itu COBIT (Control Objective for Information & Related Technology) ?

COBIT

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal yang ada.

Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:

• Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition & Implementation , Delivery & Support , dan Monitoring & Evaluation.

• Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

• Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :

v  Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

v  Apa saja indikator untuk suatu kinerja yang bagus.

v  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).

v  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.

v  Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.

v  Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

Tujuan utama pengembangan COBIT 5 for Information Security:

Menggambarkan keamanan informasi pada enterprise termasuk:

• Responsibilities terhadap fungsi IT pada keamanan informasi.
• Aspek-aspek yang akan meningkatkan efektivitas kepemimpinan dan manajemen keamanan informasi seperti struktur organisasi, aturan-aturan dan kultur.
• Hubungan dan jaringan keamanan informasi terhadap tujuan enterprise.

Memenuhi kebutuhan enterprise untuk:

• Menjaga risiko keamanan pada level yang berwenang dan melindungi informasi terhadap orang yang tidak berkepentingan atau tidak berwenang untuk melakukan modifikasi yang dapat mengakibatkan kekacauan.
• Memastikan layanan dan sistem secara berkelanjutan dapat digunakan oleh internal dan eksternal stakeholders.
• Mengikuti hukum dan peraturan yang relevan.

Manfaat dan Pengguna COBIT

Secara manajerial target pengguna COBIT dan manfaatnya adalah :

• Direktur dan Eksekutif

Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.

• Manajemen

v  Untuk mengambil keputusan investasi TI.

v  Untuk keseimbangan resiko dan kontrol investasi.

v  Untuk benchmark lingkungan TI sekarang dan masa depan.

• Pengguna

Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.

• Auditors

v  Untuk memperkuat opini untuk manajemen dalam control internal.

v  Untuk memberikan saran pada control minimum yang diperlukan.

Frame Work COBIT

COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

• Effectiveness (Efektivitas)

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun. Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.

• Efficiency (Efisiensi)

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem. Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.

• Confidentiality (Kerahasiaan)

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis. Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.

• Integrity (Integritas)

Menitikberatkan pada integritas data/informasi dalam sistem. Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.

• Availability (Ketersediaan)

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi. Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.

• Compliance (Kepatuhan)

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi. Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.

• Reliability (Handal)

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi. Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :

• Applications
• Information
• Infrastructure
• People

Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :

• Business-focused
• Process-oriented
• Controls-based
• Measurement-driven

COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :

• Planning & Organization.

Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI   dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

Domain ini mencakup :

v  PO1 – Menentukan rencana strategis

v  PO2 – Menentukan arsitektur informasi

v  PO3 – Menentukan arah teknologi

v  PO4 – Menentukan proses TI, organisasi dan hubungannya

v  PO5 – Mengelola investasi TI

v  PO6 – Mengkomunikasikan tujuan dan arahan manajemen

v  PO7 – Mengelola sumber daya manusia

v  PO8 – Mengelola kualitas

v  PO9 – Menilai dan mengelola resiko TI

v  PO10 – Mengelola proyek

• Acquisition & Implementation.

Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.

Domain ini meliputi:

v  AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.

v  AI2 – Mendapatkan dan maintenance software aplikasi.

v  AI3 – Mendapatkan dan maintenance infrastuktur teknologi

v  AI4 – Mengaktifkan operasi dan penggunaan

v  AI5 – Pengadaan sumber daya IT.

v  AI6 – Mengelola perubahan

v  AI7 – Instalasi dan akreditasi solusi dan perubahan.

• Delivery & Support.

Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.

Domain ini meliputi :

v  DS1 – Menentukan dan mengelola tingkat layanan.

v  DS2 – Mengelola layanan dari pihak ketiga

v  DS3 – Mengelola performa dan kapasitas.

v  DS4 – Menjamin layanan yang berkelanjutan

v  DS5 – Menjamin keamanan sistem.

v  DS6 – Mengidentifikasi dan mengalokasikan dana.

v  DS7 – Mendidik dan melatih pengguna

v  DS8 – Mengelola service desk dan insiden.

v  DS9 – Mengelola konfigurasi.

v  DS10 – Mengelola permasalahan.

v  DS11 – Mengelola data

v  DS12 – Mengelola lingkungan fisik

v  DS13 – Mengelola operasi.

• Monitoring and Evaluation.

Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.

Domain ini meliputi:

v  ME1 – Mengawasi dan mengevaluasi performansi TI.

v  ME2 – Mengevaluasi dan mengawasi kontrol internal

v  ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.

v  ME4 – Menyediakan IT Governance.

COBIT Maturity Model

COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized  (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).

Sumber:

https://haendra.wordpress.com/2012/06/08/pengertian-cobit/

https://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html

https://www.proxsisgroup.com/articles/pengertian-dan-fungsi-cobit-5-information-security/

Bagaimana Teknis Mengimplementasikan Tata Kelola Teknologi Informasi?

Framework Tata Kelola TI

Apa itu Framework?  Framework adalah sebuah software untuk mempermudah para programer untuk membuat sebuah aplikasi web yang di dalam nya ada berbagai fungsi dan konsep untuk membentuk suatu sistem tertentu agar tersusun dan tersetruktur dengan rapi.

Berikut ini adalah rekomendasi framework berdasar prinsip-prinsip tata kelola teknologi informasi;

IT Strategis Alignment

• Strategic Alignment Model (SAM)
  Keuntungan dari penggunaan software ini antara lain:
  -Tercapainya tujuan dengan menggunakan sumberdaya dari organisasi lebih efisien terutama dalam hal waktu dan biaya.
  -Organisasi terus bergerak maju untuk mencapai tujuan organisasi.

•  Cobit (Control Objectives IT )Cobit merupakan standar internasional dalam pengarah dan pengendali teknologi informasi pada sebuah organisasi. Berikut standar cobit yang digunakan untuk mengukur tingkatan proses tata kelola teknologi informasi:
• Domain Process:
• Plan and Organize
• cquire and Implement
• Delivery and Support
• Monitor and Evaluat

kuntungan Cobit untuk tujuan bisnis ialah :
-Cobit merekomendasikan 17 Tujuan bisnis
-Cobit merekomendasikan 28 Tujuan TI
-Cobit telah mendefinisikan 4 Domain Tata Kelola TI
-Cobit merekomendasikan proses-proses TI 
-Cobit mendefinisikan Objective Controls

Prinsip - Prinsip Tata Kelola Teknologi Informasi

Tata kelola sangat dibutuhkan sebagai pengambilan keputusan dan biasanya data perubahan didapatkan dari informasi pengguna. Agar TI dalam sebuah perusahaan tidak berdiri sendiri dan terintimidasi maka perlunya kerjasama antara TI dan perusahaan. Maka dari itu sangat perlu untuk kita mempelajari tentang prinsip-prinsip teknologi informasi.

• TI dikembangkan, dioprasikan dan digunakan untuk mendukung bisnisnya.
• Management TI harus menjadi bagian dalam tata kelola perusahaan.
• Tata kelola TI melibatkan semua level management bukan hanya management TI.
• TI harus menjadi aset strategis perusahaan yang harus dijaga dan terus dikembangkan bukan hanya sebagai pengeluaran. Aset maksudnya mendukung / bagian dari strategi perusahaan untuk mencapai tujuan perusahaan.

Berikut perbedaan fungsi dari TI pada tahun 80an dengan fungsi TI pada tahun 2000an (now).

Pada tahun 80an:

• TI sebagai salah satu penyedia layanan
• TI untuk efisiensi
• Anggaran TI ditetapkan berdasarkan external benchmarks
• TI terpisah dengan bisnis
• Dilihat sebagai pos pengeluaran yang harus dikontrol
• Management TI harus seorang yang ahli secara teknis

Pada tahun 2000an:

• TI sebagai salah satu rekanan(partner) strategis 
• Membuat bisnis lebih berkembang
• Anggaran TI ditetapkan berdasarkan strategi bisnis
• Sebagai salah satu bagian bisnis
• Sebagai sebuah investasi yang harus dimanage
• Management TI adalah orang yang berkembang menyelesaikan masalah bisnis

5 Area Fokus Tata Kelola Teknologi Informasi

1.  Strategic Alignment, merumuskan penyelarasan antara TI dengan tujuan bisnis.
2. Value Delivery, mengimplementasikan strategi TI sehingga manfaat value dari investasi TI benar dapat mendukung tujuan bisnis.
3. Risk Management, mengatasi dan menekan resiko.
4. Performance Management, memonitori dan mengevaluasi output proses dan strategi.
5. Resource Management, yang berfokus pada bagaimana mengoptimalkan sumber daya IT.

Tata Kelola Teknologi Informasi

Ketergantungan organisasi pada pengetahuan sangat meningkat dijaman sekarang, karena pada pada tahun 90an penggunaan sistem informasi hanya sebagai pelengkap. Kemudian berubah pada saat ketergantungan pada teknologi informasi meningkat, ini lah sebabnya tata kelola teknologi infomasi dimutlakkan. Contoh bisnis yang ketergantungannya sangat tinggi pada TI yaitu penerbangan, perbankan, perguruan tinggi, organisasi pemerintahan.

APA ITU TATA KELOLA TI (Teknologi Informasi)?

Menurut Riyanarto Sarno pada tahun 2009, merupakan struktur hubungan dan proses untuk mengarahkan dan mengontrol perusahaan agar tujuan bisnis dapat tercapai melalui penambahan nilai sekaligus melalui penyeimbangan resiko terkait dengan pengelolaan proses TI. Tidak hanya proses, namun juga memastikan bahwa proses tersebut telah dipenuhi oleh sumber daya TI yang memberikan dukungan secara optimal terhadap pemenuhan tujuan bisnis.

Tata Kelola TI berisi :

• Tanggung jawab bersama 
• Merumuskan Strategi TI untuk mendukung Tujuan Organisasi
• Memastikan Implementasi Strategi TI tersebut
• Struktur Organisasi manajemen TI
• Proses-proses manajemen TI
• Kepemimpinan (leadership)
• Kewenangan (decision rights)
• Kejelasan seluruh struktur, proses, & wewenang dalam manajemen TI & kemampuan mempertanggung-jawabkannya (accountibility framework)

Agar sejalan dengan tujuan teknologi informasi maka kita harus mengetahui sumber daya TI antara lain :

• Mengarahkan 
• Mengukur
• Mengevaluasi

Selain itu agar bisa membangun TI memerlukan :

• Modal / uang
• Infastruktur
• Aplikasi
• Informasi 

Mengapa kita perlu mempelajari Audit Sistem Informasi?

Audit sistem informasi merupakan sebuah proses pengumpulan bukti - bukti atau fakta agar tercapainya tujuan secara efektif dengan menggunakan sumber daya yang lebih efisien.
Misalnya pada kegiatan perusahaan, akan ada laporan keuangan perusahaan. Maka diperlukannya sistem audit untuk memastikan tidak terdapatnya kesalahan serta kecurangan dalam penulisan laporan keuangan tersebut.