Tanggal 13 Desember 2018 yang lalu, Badan Siber dan Sandi Negara (BSSN) menyelenggarakan uji publik terhadap draf Pedoman Penilaian dan Audit Keamanan Informasi.
Friday, January 25, 2019
Uji Publik Pedoman Penilaian dan Audit Keamanan Transaksi Perdagangan Berbasis Elektronik BSSN
Tanggal 13 Desember 2018 yang lalu, Badan Siber dan Sandi Negara (BSSN) menyelenggarakan uji publik terhadap draf Pedoman Penilaian dan Audit Keamanan Informasi.
IT Governance Risk Management, Assurance & Cybersecurity Summit (GRACS) 2018
Karena ada pembicara yang tidak bisa hadir, ISACA mengisi sesinya dengan pembicara pengganti dengan topik pengenalan COBIT 2019. Udah lama ya? Gpp lah xixixi
Sunday, July 22, 2018
Perbedaan Antara CISA dengan ISO 27001 Lead Auditor
Minggu lalu muncul pertanyaan yang cukup menarik, yang untuk menjawabnya jadi mencari-mencari kerangka pikir yang tepat, “Apa perbedaan antara CISA dengan ISO/IEC 27001 Lead Auditor?” Kalau coba dijawab dengan agak dipikirkan, mungkin hal-hal berikut ini yang membedakan CISA dengan ISO/IEC 27001 Lead Auditor (disingkat “LA” untuk memudahkan).
PERSYARATAN UNTUK MENJADI CISA DAN LA
Ujian dan sertifikasi CISA hanya diselenggarakan oleh satu entitas yaitu ISACA. Untuk menjadi CISA, seseorang harus:
- lulus ujian CISA yang diselenggarakan ISACA;
- memenuhi persyaratan pengalaman dan persyaratan lainnya yang ditentukan oleh ISACA.
Terkait LA, terdapat beberapa pihak yang menyediakan sertifikasi-sertifikasi terkait ISO/IEC 27001 Information Security Management System (ISMS). Entitas yang dianggap paling kredibel dalam penyediaan sertifikasi terkait ISO/IEC 27001 oleh cukup banyak pihak adalah International Register of Certified Auditors (IRCA) yang menyediakan program sertifikasi ISO/IEC 27001:2013 ISMS Lead Implementer, ISO/IEC 27001:2013 ISMS Internal Auditor, dan ISO/IEC 27001:2013 ISMS Lead Auditor.
Selain IRCA ada pula entitas lain seperti Professional Evaluation and Certification Board (PECB) dengan program ISO/IEC 27001 Lead Implementer dan ISO/IEC 27001 Lead Auditor serta Exemplar Global dengan program sertifikasi ISMS-nya.
Setiap entitas ini memiliki persyaratan masing-masing untuk menjadi LA; persyaratan menjadi LA berbeda-beda, tergantung kepada pihak penyelenggara program sertifikasinya.
Singkatnya, sertifikasi CISA hanya dari ISACA sedangkan sertifikasi LA ditawarkan oleh beberapa penyelenggara program sertifikasi.
AUDIT OLEH CISA DAN LA
Terkait dengan audit yang dilakukan oleh CISA dan LA, pembahasan akan dilakukan mengenai:
- pihak-pihak yang terlibat dalam audit;
- tipe dan tujuan audit;
- area dan kriteria audit.
Pihak-pihak yang Terlibat dalam Audit
Terdapat minimal tiga pihak yang terlibat dalam audit yaitu pihak penerima laporan, auditor, dan auditee (hal ini dibahas dalam buku Audit Sistem Informasi: Lima Aspek Audit Sistem Informasi). Hal yang akan dibahas di sini bukanlah hubungan antarpihak terkait CISA dan LA, namun hanya mengenai pihak yang diwakili CISA atau LA saja.
CISA sering kali menjadi pihak yang ditunjuk governance bodies dari perusahaan atau kadang-kadang ditunjuk oleh regulator, misalnya Bursa Efek Indonesia (BEI). Governance bodies dari perusahaan adalah dewan direksi, komisaris, dan komite perusahaan misalnya komite audit atau komite pengarah TI.
LA dapat bekerja sebagai auditor internal perusahaan, auditor eksternal dari konsultan, assessor dari perusahaan penyedia sertifikasi ISO, atau lainnya. Governance bodies dapat menunjuk auditor internal perusahaan dan/atau auditor eksternal dari konsultan untuk mengaudit ISMS dalam rangka membantu perusahaan mendapatkan sertifikasi ISO/IEC 27001. Dalam hal assessor, LA ditunjuk perusahaan penyedia sertifikasi ISO/IEC 27001 untuk melakukan audit ISMS terhadap perusahaan yang ingin mendapatkan sertifikasi tersebut.
Ringkasnya, CISA sering ditunjuk oleh perusahaan atau kadang-kadang oleh regulator sedangkan LA ditunjuk oleh perusahaan atau oleh penyedia sertifikasi ISO/IEC 27001.
Tipe dan tujuan audit
Tipe audit yang dilakukan oleh LA adalah compliance audit (audit kepatuhan/ketaatan) baik oleh auditor yang ditunjuk perusahaan yang ingin mendapat sertifikasi maupun auditor yang menjadi assessor dari penyedia sertifikasi ISO/IEC 27001.
Tujuannya berbeda, tergantung pihak penunjuk auditornya. Jika auditor ISMS ditunjuk oleh penyedia sertifikasi, maka tujuan auditnya terutama adalah untuk menentukan apakah perusahaan sudah layak mendapat sertifikasi ISO/IEC 27001 atau belum. Jika auditor ISMS ditunjuk oleh perusahaan, tujuan audit antara lain adalah untuk mendapatkan informasi mengenai posisi kepatuhan/ketaatan perusahaan terhadap ISO/IEC 27001 dan juga untuk mendapatkan rekomendasi cara untuk dapat memenuhi semua persyaratan sertifikasi.
Tipe audit yang dilakukan oleh CISA bisa audit kepatuhan/ketaatan atau audit lainnya yang kriteria auditnya bukan peraturan perundang-undangan atau regulasi dari pihak regulator. Tujuannya adalah untuk memberikan reasonable assurance dan rekomendasi kepada pihak penerima laporan.
Sederhananya, LA melakukan audit kepatuhan sedangkan CISA tidak hanya melakukan audit kepatuhan namun juga audit lainnya.
Area dan kriteria audit
Area yang diaudit oleh LA hanyalah area keamanan informasi dan kriteria audit yang digunakan hanya seri ISO 27000 yaitu terutama ISO/IEC 27001 kemudian ISO/IEC lainnya seperti ISO/IEC 27007 yang merupakan panduan audit dan ISO/IEC 27004 mengenai information security metrics.
Area yang diaudit oleh CISA bisa bermacam-macam, tergantung kepada tujuan dan cakupan audit. CISA dapat mengaudit keamanan informasi, TI secara umum (general IS/IT audit), atau area lainnya.
Demikian hal-hal yang membedakan CISA dengan LA, apakah ada hal signifikan yang belum termasuk? Mohon koreksi dan masukannya ya :)
Wednesday, April 4, 2018
Kulit Rendang Ayam Crispy dan Auditor SI
Sudah jelas juri ini kurang paham apa itu ayam rendang, sehingga penilaiannya pun salah. Hal seperti ini yang dapat terjadi jika penilai kurang memahami apa yang dinilai. Ini adalah hal penting bagi auditor SI: auditor jangan melakukan pemeriksaan terhadap sesuatu yang ia kurang paham.
Jika mengacu kepada standar audit dari ISACA, Standar 1006 Proficiency antara lain menyatakan bahwa auditor harus memiliki pengetahuan yang cukup terkait objek audit serta kompeten untuk melakukan audit yang akan dikerjakan. Ini adalah persyaratan dari ISACA yang diwajibkan untuk dipenuhi (mandatory requirements).
Berdasarkan hal itu, jika auditor kurang memahami objek audit, auditor tersebut jangan menjadi lead auditor; pihak yang memahami objek audit serta cukup berpengalaman dalam audit terhadap objek audit menjadi auditor utama sedangkan auditor yang pertama tadi menjadi anggota timnya.
Demikian Chef Gregg Wallace, yuk ke Indonesia, makan berbagai macam makanan Padang: rendang ayam, rendang daging, rendang paru, dendeng balado kering, dendeng balado basah, asam padeh bihie, ayam kalio. Setelah itu baru deh bikin penilaian menu apa yang paling enak yak :)
Monday, September 11, 2017
Rilis
Akhirnya buku dirilis, alhamdulillah! Keterangan waktu di Pendahuluan adalah Maret 2017, tapi proses penyuntingan akhir dengan Penerbit cukup lama, perubahan terakhir tercatat di tanggal 22 Juli 2017. Buku selesai dicetak sebulan kemudian yaitu tanggal 22 Agustus 2017, terima kasih Om Abi Kusharjanto yang baik! Buku sampai ke Jakarta tanggal 4 September 2017. Berikutnya adalah setup toko di Tokopedia dan bukunya sendiri. Terakhir adalah blog-nya ya.
Hal yang menarik saat setup buku di Tokopedia, tidak ada subkategori yang cocok, subkategori yang ada adalah Database, Design Graphics, Hardware, Internet & Web, Microsoft Office, Mobile & Gadget, Programming, Sistem Operasi, dan Sosial Media. Terpaksalah dipilih salah satu, akhirnya Internet & Web yang dipilih. Hmm.. apakah artinya buku-buku manajemen TI tidak banyak di Indonesia.. that can't be...
Anyways, semoga lancar aamiin.. Cek ya :)