Audit Sistem Manajemen Keamanan Informasi adalah sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.
Dalam hal kewajiban pelaksanaan audit keamanan informasi di industri perbankan yang dipersyaratkan oleh Bank Indonesia (BI) kepada institusi perbankan atau perusahaan financial technology (fintech) di Indonesia, tak ada ketentuan khusus atau keharusan untuk menggunakan standarisasi atau framework keamanan informasi tertentu. Sepanjang ruang lingkup yang diperyaratkan oleh BI dalam Peraturan Bank Indonesia tsb dapat tercakupi.
Oleh karena itu, framewok sistem manajemen keamanan informasi dapat digunakan sebagai perangkat untuk melakukan audit sistem manajemen keamanan informasi di industri perbankan dengan melakukan penyesuaian ruang lingkup sesuai syarat BI terkait keamanan dan kehandalan sistem seperti yang tercantum pada Peraturan Bank Indonesia No.20/6/PBI/2018 tentang Uang Elektronik. Dimana dalam peraturan tersebut keamanan dan kehandalan sistem meliputi:
- Keamanan operasional
- Keamanan jaringan, aplikasi, dan sistem
- Keamanan dan integritas data atau informasi
- Keamanan fisik dan lingkungan, termasuk kontrol terhadap akses sistem dan data
- Manajemen perubahan sistem
- Manajemen implementasi sistem
- Prosedur tertulis terkait keamanan teknologi
Kesemua persyaratan tersebut dapat difasilitasi dengan menggunakan framework keamanan informasi seperti: COBIT 5 for Information Security, ISO27001, NIST Cybersecurity,dsb. Framework tsb selain menjadi standarisasi dalam penerapan sistem manajemen keamanan informasi dapat pula digunakan sebagai pedoman audit keamanan informasi.
COURSE OUTLINE
- Sistem keamanan teknologi yang dilakukan secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan yang berlaku, yang paling kurang memenuhi prinsip-prinsip:
- Kerahasiaan data
- Integritas sistem dan data
- Dua faktor otentifikasi sistem dan data
- Pencegahan terjadinya penyangkalan transaksi yang telah dilakukan
- Ketersediaan sistem
- Cakupan security audit paling kurang meliputi aspek teknologi informasi dan aspek bisnis
- Sistem dan prosedur untuk melakukan audit trail
- Kebijakan dan prosedur internal untuk sistem dan Sumber Daya Manusia (SDM)
- Business continuity plan (BCP) yang dapat menjamin kelangsungan penyelenggaraan Uang Elektronik. BCP tersebut meliputi tindakan preventif maupun contingency plan (termasuk penyediaan sarana back-up) jika terjadi kondisi darurat atau gangguan yang mengakibatkan sistem utama penyelenggaraan Uang Elektronik tidak dapat digunakan.
- Audit teknologi informasi tersebut meliputi pula pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan terhadap keamanan dan keandalan sistem atau jaringan pemohon yang digunakan oleh pihak lain.
