Audit Sistem Informasi : Chapter 09 Pengertian Framework Audit Sistem Informasi

  Pengertian Framework Audit Sistem Informasi ?

        Jawab :

     framework TI  ini menjadi sangat penting untuk memastikan bahwa layanan TI bekerja sebagaimana mestinya sesuai dengan tujuan dan strategis bisnis, memiliki kualitas pelayanan yang efisien dan efektif, mengoptimalisasikan kualitas dan kuantitas layanan, memastikan bahwa budget yan di keluarkan efektif, menjamin tingkat keamanan yang dapat dipertanggungjawabkan, dsb. Secara umum standart dan framework digunakan untuk memastikan bahwa sumberdaya TI (termasuk SDM-nya) dikelola untuk memberikan pelayanan yang optimal, efisien, efektif, dan aman.

    Berikut ini adalah standar atau framework yang paling banyak digunakan dalam pengembangan Manajemen Teknik Informasi :

COBIT

        COBIT yang merupakan singkatan dari Control Objectives for Information and Related Technology, dimiliki dan didukung oleh ISACA. Pertamakali di luncurkan pada tahun 1996 sebagai COBIT. Versi yang terbaru saat ini adalah COBIT 2019 namun hingga saat ini COBIT 5 masih digunakan secara luas sebagai framework TI untuk  Tata Kelola TI. Di mana COBIT 5 merupakan gabungan dari framework COBIT 4.1, VAL IT 2.0, dan Risk IT.

   

ITIL

    ITIL, singkatan dari Information Technology Infrastructure Library, merupakan seperangkat guideline (petunjuk) dan best practices untuk kebutuhan IT Service Management (ITSM) atau Manajemen Layanan Teknologi Informasi (MLTI). Merupakan framework TI yang dikeluarkan oleh AXELOS Limited. ITIL fokus pada penyelarasan IT services atau layanan TI sesuai kebutuhan bisnis dan mendukung proses inti. Terdiri dari lima volume : Service Strategy, Service Design, Service Transition, Service Operation and Continual Service Improvement.

CMMI

    Framework CMMI merupakan singkatan dari Capability Maturity Model Integration, merupakan model yang sudah terkenal secara global sebagai model referensi yang dikembangkan melalui best practices yang memberikan petunjuk untuk meningkatkan proses yang dapat memenuhi target bisnis dari suatu organisasi. Model ini dikembangkan oleh pakar di industri, pemerintahan, dan Software Engineering Institute (SEI).

PMBOK

    Kepanjangan dari PMBOK adalah Guide to the Project Management Body of Knowledge, adalah suatu guideline yang secara internasioal diakui untuk digunakan sebagai metode manajemen proyek dan merupakan produk dari PMI (Project Management Institute), PMBOK adalah standar yang secara luas diterima dan diakui sebagai basis untuk keseluruhan metode manajemen proyek.

    PMBOK memberikan deskripsi yang mendalam mengenai isi dan pokok-pokok yang secara fundamental membahas mengenai manajemen proyek, namun fokusnya tidak pada soalan mengenai saran implementasi teknis. Berkaitan dengan petunjuk praktis justru diberikan oleh kerangka yang lain seperti PRINCE2. Pada intinya PMBOK terdiri dari 5 proses dasar : Initiating, Planning, Executing, Controlling and Monitoring, and Closing.

PRINCE2

    PRINCE2 merupakan singkatan dari Projects IN a Controlled Environment, merupakan standar de facto untuk metode manajemen proyekyang dimiliki oleh UK Cabinet Office. PRINCE2 merupakan komplemen dari model PMBOK dengan menyediakan petunjuk yang sifat berbasis proses dan praktis berikut dengan template yang siap digunakan oleh Manajer Proyek dan Group Project Steering untuk setiap fase yang berbeda dari proyek. PRINCE2 memastikan kontrol yang lebih besar terhadap sumberdaya serta manajemen yang efektif terhadap risiko bisnis dan proyek.

ISO/IEC 20000

ISO/IEC 20000 adalah Service Management System (SMS) atau sistem manajemen layanan merupakan standarisasi internasional untuk manajemen layanan TI. Dimiliki oleh International Organization for Standardization (ISO) dan  the International Electrotechnical Commission (IEC) dan secara umum selaras dengan ITIL.

ISO/IEC 20000 memiliki dua bagian. Bagian pertama mendefinisikan kebutuhan formal dari produksi berkualitas tinggi terhadap layanan kepada bisnis. TI yang meliputi kriteria perencanaan, manajemen layanan, dan produksi layanan dan juga manajemen pelanggan. Bagian kedua menjelaskan proses dari produksi layanan yang secara umum sama dengan proses ITIL yang secara umum memfokuskan pada proses manajemen pelanggan.

ISO 21500

ISO 21500 adalah standar yang secara generik merupakan petunjuk mengenai konsep dan proyek dari manajemen proyek yang merupakan bagian terpenting dalam realisasi proyek yang sukses. Dapat digunakan untuk seluruh jenis organisasi dan dapat diterapkan apda setiap jenis proyek, tanpa terkendala ukuran, kompleksitas, dan durasi.

ISO 21500 adalah standar informal secara umum lebih merupakan guideline ketimbang metodologi yang bersertifikasi. Menyediakan deskripsi high level terhadap konsep dan proses yang selama ini diangap sebagai good practices dalam manajemen proyek dan menempatkna proyek dalam konteks program dan portofolio proyek. PMBOK secara umum memiliki kesesuaian dengan ISO 21500 begitu juga sebaliknya.

ISO/IEC 38500

ISO/IEC 38500 merupakan standar yang memberikan prinsip umum mengenai peran dan manejemen IT governance dengan tanggungjawab bisnis (contoh : BoD dan tim manajemen). Dapat digunakan secara luas untuk semua jenis dan ukuran organisasi baik perusahaan privat maupun publik termasuk organisasi non profit.

Standar ini mendukung manajemen bisnis dalam melaksanakan supervisi terhadap organisasi TI dan membantunya memastikan bahwa TI memberikan dampak positif terhadap kinerja perusahaan. Di mana standart terdiri dari 6 prinsip, sebagai berikut :

1. Responsibility
2. Strategy
3. Acquisition
4. Performance
5. Conformance
6. Human behaviour

Selain itu ISO/IEC 38500 juga menjamin bahwa manajemen telah melaksanakan konformitas dengan implementasi tata kelola organisasi yang baik (good overnance).

TOGAF

TOGAF adalah kerangka kerja enterprise architecture dari Open Group Standard yang memungkinkan setiap organisasi memiliki pendekatan terstruktur untuk pengelolaan implementasi teknologi, secara khusus dalam desain teknologi perangkat lunak, pengembangannya, dan peratawatan. Dipublikasikan tahun 1995 berdasarkan US Department of Defence Technical Architecture Framework for Information Management (TAFIM). Kemudian dikembangkan oleh The Open Group Architecture Forum dan kemudian secara reguler dirilis di website Open Group.

TOGAF meningkatkan efisiensi bisnis dengan cara memastikannya melalui metode yang konsisten, komunikasi, pemanfaatan sumberdaya yang efisien. Meningkatkan kredibiltias industri dengan bahasa yang umum di kalangan profesional enterprise architecture.

ISO/IEC 27001

ISO/IEC 27001 merupakan standarisasi untuk ISMS (Information Security Management System) yang isinya merupakan pedoman pentunjuk dan prosedur praktis pengelolaan Sistem Manajemen Keamanan Informasi. ISO27001 lebih memfokuskan diri pada aspek manajemen pelaksanaan. Dimana output dokumennya merinci hingga detil aktivitas keamanan yang mesti dilakukan. Namun demikian proses implementasi maupun aktivitas audit keamanan sistem informasi sebenarnya bersifat fleksibel tergantung pada tipe dan kebutuhan organisasi serta fokus dan concern mereka pada proses bisnis dan proses TI-nya seturut dengan tujuan dan strategis perusahaan.

Selain ISO/IEC 27001 maka COBIT juga bisa digunakan untuk membangun Sistem Manajemen Keamanan Informasi khususnya bila kita menggunakan pedoman profesional COBIT khusus untuk keamanan yaitu : COBIT 5 for Information Risk. Bila kita ingin membangun Tata Kelola Keamanan Informasi yang meliputi Governance dan Management sekaligus maka COBIT adalah pilihan yang terbaik.