SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12 Khairul Anwar Hafizd khairul.anwarhafizd@gmail.com
Standar Operasional Prosedur SOP merupakan pedoman kerja bagi setiap perusahaan dalam menjalankan kegiatan operasionalnya. Dalam SOP itu biasanya diatur ketentuan umum yang berlaku dalam suatu unit kerja, sedangkan ketentuan khususnya diatur sendiri dalam bentuk surat edaran (SE) dari Direksi Perusahaan uang bersangkutan. Secara Garis besar setiap materi dalam SOP terdiri atas: Kebijakan Umum Tujuan Ruang Lingkup Penanggung jawab Hal-hal yang akan diatur dalam kebijakan yang bersangkutan
Prosedur Prosedur biasanya berisi petunjuk pelaksanaan operasional pekerjaan yang dilakukan. Biasanya berupa urutan pekerjaan yang harus dilakukan dan lebih baik lagi jika dilengkapi dengan flow of document serta contoh-contoh format lampiran.
Standar kinerja ini sekaligus dapat untuk menilai kinerja instansi pemerintah secara internal mupun eksternal. Standar internal yang bersifat prosedural inilah yang disebut dengan Standar Operasional Prosedur (SOP). Tahap penting dalam penyusunan Standar operasional prosedur adalah melakukan analisis sistem dan prosedur kerja, analisis tugas, dan melakukan analisis prosedur kerja.
Analisis Sistem dan Prosedur Kerja Analisis sistem dan prosedur kerja adalah kegiatan mengidentifikasikan fungsi fungsi utama dalam suatu pekerjaan, dan langkah-langkah yang diperlukan dalam melaksanakan fungsi sistem dan prosedur kerja. Sistem adalah kesatuan unsur atau unit yang saling berhubungan dan saling mempengaruhi sedemikian rupa, sehingga muncul dalam bentuk keseluruhan, bekerja, berfungsi atau bergerak secara harmonis yang ditopang oleh sejumlah prosedur yang diperlukan, sedang prosedur merupakan urutan kerja atau kegiatan yang terencana untuk menangani pekerjaan yang berulang dengan cara seragam dan terpadu.
Analisis Tugas Analisis tugas merupakan proses manajemen yang merupakan penelaahan yang mendalam dan teratur terhadap suatu pekerjaan, karena itu analisa tugas diperlukan dalam setiap perencanaan dan perbaikan organisasi. Di bidang manajemen dikenal sedikitnya 5 aspek yang berkaitan langsung dengan analisis tugas yaitu: Analisa tugas Deskripsi tugas Spesifikasi tugas Penilaian tugas Pengukuran kerja dan penentuan standar tugas
Analisis Prosedur Kerja Analisis prosedur kerja adalah kegiatan untuk mengidentifikasi urutan langkah- langkah pekerjaan yang berhubungan apa yang dilakukan, bagaimana hal tersebut dilakukan, bilamana hal tersebut dilakukan, dimana hal tersebut dilakukan, dan siapa yang melakukannya. Prosedur diperoleh dengan merencanakan terlebih dahulu bermacam-macam langkah yang dianggap perlu untuk melaksanakan pekerjaan.
Audit Teknologi Informasi Audit sendiri sebenarnya adalah proses pengawasan dan pengendalian. Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Keamanan Informasi Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimalisasi risiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang.
Audit Sistem Informasi Audit secara umum adalah proses terpadu dalam pengumpulan dan penilaian terhadap informasi sebagai satu kesatuan organisasi oleh seorang ahli. Pengertian audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.
Audit Keamanan Menurut Margaret (2005), audit keamanan bertujuan mengevaluasi sistematis dari keamanan sistem informasi perusahaan dengan mengukur seberapa baik sesuai dengan beberapa kriteria yang ditetapkan. Audit menyeluruh untuk menilai keamanan konfigurasi fisik sistem dan lingkungan, perangkat lunak, proses penanganan informasi, dan praktik pengguna.
Tahapan Audit
Keempat tahapan tersebut adalah: Tahap Perencanaan Audit Sistem Informasi Melakukan identifikasi proses bisnis. Melakukan penentuan ruang lingkup dan tujuan audit. Melakukan identification of core TI application and the main IT relevant interfaces Tahap Persiapan Audit Sistem Informasi. Tahap Persiapan Audit Sistem Informasi Melakukan proses penyusunan Jadwal Kerja Audit. Membuat pernyataan. Melakukan pembobotan. Membuat pertanyaan.
Tahap Pelaksanaan Audit Sistem Informasi Melakukan proses pemeriksaan data dan bukti. Melakukan wawancara. Melakukan uji kematangan. Melakukan penentuan temuan dan rekomendasi. Tahap Pelaporan Audit Sistem Informasi
Keuntungan Adanya Audit Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa dating Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke manajemen. Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak bertanggung jawab.
Jenis-jenis Audit Teknologi Informasi Audit sistem; audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional. Audit pemenuhan (compliance); untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain. Audit produk atau layanan; untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan.
Kesuksesan proses audit tergantung pada hal-hal berikut: • Pemilihan auditor yang tepat, • Persiapan yang matang dan adanya respon, • Adanya laporan yang berarti, • Adanya aksi yang tepat yang diminta oleh auditor.
Audit teknologi informasi secara internal meliputi hal-hal berikut: Acuan di dalam proses audit secara internal, Kunci obyektif dan kebutuhan, Global dan independen, Fokus pada resiko, Keahlian dalam mengontrol teknologi informasi internal, Keterlibatan proyek teknologi informasi,
Review secara teratur, Adanya standardisasi dan review yang dalam, Rekomendasi, Teknologi informasi dan pengetahuan, Koordinasi yang efektif dengan pihak luar dan bagian regulasi, Aplikasi/infrastruktur koordinasi audit, Metodologi kerangka kerja.
Area penggunaannya meliputi: Audit teknologi informasi Analisis resiko Pengecekan kesehatan (perbandingan keamanan) Konsep keamanan Manual keamanan